Cumplimiento Cloud de PCI DSS

Seguridad y privacidad en la nube en el contexto de PCI DSS

¿Qué es el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS)?

El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS) es un estándar internacional que describe los requisitos mínimos de seguridad para los datos de los titulares de tarjetas. El estándar no es una ley, pero cualquier prestatario de servicios que procese o trate datos de tarjetas de pago debe cumplir los requisitos de la normativa. Los principales requisitos incluyen la creación y el mantenimiento de un sistema de redes seguro, la protección de los datos de los titulares de las tarjetas, el mantenimiento de un programa de gestión de vulnerabilidades, la implementación de fuertes medidas de control de acceso, la supervisión y las pruebas periódicas de las redes, y el mantenimiento de una política de seguridad de la información. El Reglamento exige explícitamente el cifrado de los datos de las tarjetas de pago y de las vías de comunicación por las que atraviesan los datos. La validación de la conformidad con el PCI DSS está determinada por marcas de pago individuales.

Las compañías de tarjetas de pago individuales desarrollan regulaciones personalizadas y aplican el cumplimiento del PCI DSS para las entidades que procesan sus formas de pago. La naturaleza no estandarizada del estándar de cumplimiento requiere que las entidades que procesan la información de las tarjetas de pago garanticen la comprensión y el cumplimiento de las regulaciones definidas por cada marca de tarjeta de pago que procesan. Las sanciones por incumplimiento pueden incluir multas por datos del titular de la tarjeta comprometidos, suspensión de las redes de procesamiento, daños significativos a la reputación, posibles litigios y pérdida de la confianza de los clientes.

¿A quién se aplica?

Todas las empresas que aceptan, procesan, almacenan o transmiten información de tarjetas de pago

¿Qué datos están protegidos?

Datos del titular de la tarjeta
- El número de cuenta principal (PAN) de una persona, solo o junto con él:
  - - - Nombre del titular de la tarjeta
      - Fecha de caducidad
      - Código de servicio
- Datos de autenticación sensibles (p. ej. CVC, CVV, PIN, etc.) también debe protegerse

Requisitos

Seguridad de la red

Instale y mantenga una configuración de cortafuegos para proteger los datos del titular de la tarjeta, y no utilice los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.

Protección de datos del titular de la tarjeta

Garantice una protección adecuada de los datos almacenados de los titulares de tarjetas, incluyendo el cifrado de la transmisión de datos de los titulares de tarjetas a través de redes públicas abiertas.

Gestión de vulnerabilidades

Desarrolle y mantenga un programa de administración de vulnerabilidades que incluya el uso y la actualización regular de software o programas antivirus y el desarrollo y mantenimiento de sistemas y aplicaciones seguras.

Controles de acceso

Las medidas de control de acceso que se implementarán incluyen la restricción del acceso a los datos del titular de la tarjeta mediante una política de identificación de la persona, la asignación de un ID único a cada persona y la restricción del acceso físico a los datos del titular de la tarjeta.

Registros de red

Mantenga registros de todos los accesos a los recursos de la red y a los datos de los titulares de las tarjetas y compruebe regularmente los sistemas y procesos de seguridad.

Políticas de seguridad de la información

Cerciórese de que se implemente una política que aborde la seguridad de la información para los empleados y contratistas.

Lista de verificación preliminar para el cumplimiento

Políticas de seguridad
Educación y formación
Seguimiento y auditoría
Controles de acceso y seguridad

Políticas de seguridad

Hardware de procesamiento de pagos y usuarios protegidos así como los servicios cloud a los que acceden.

Educación y formación

Proporcione a los empleados formación y capacitación sobre las mejores prácticas de seguridad y la protección de los datos de los titulares de las tarjetas.

Seguimiento y auditoría

Supervise regularmente el tráfico dentro de su red y pruebe estos sistemas y procesos.

Controles de acceso y seguridad

Aplique fuertes medidas de control de acceso para restringir el acceso a los datos de los titulares de tarjetas en función de la necesidad de conocerlos. Garantice la aplicación de las medidas de seguridad adecuadas a los datos de los titulares de las tarjetas.

Las empresas líderes confian en nosotros

Me encanta cómo Netskope aporta toda la información que necesitamos para localizar un incidente y conseguir que el personal responsable se encargue de la resolución. Esto nos permite ahorrar un tiempo muy valioso que es esencial.
- - SOC Analyst, Fortune 500 Retailer

Top CASB Use Cases for Financial Services — ebook

Obtenga más información sobre los 3 casos de uso de CASB más importantes para las entidades financieras con el fin de proteger el uso de la nube.

Más información

Libro Electrónico — 20 Ejemplos de Seguridad Inteligente para la Nube

Conozca los 20 casos de uso fundamentales de la Seguridad Inteligente para la Nube y lo que debe considerar en términos de requerimientos funcionales y de arquitectura para cada caso de uso.