TECNOLOGÍA
Compártelo
Las PCI y DSS

Las PCI y DSS

Las Normas de Seguridad de Datos (DSS) de la Industria de Tarjetas de Pago (PCI) se desarrollaron para fomentar y mejorar la seguridad de los datos de los titulares de las tarjetas y para facilitar la adopción de medidas de seguridad consistentes a nivel mundial.

Las PCI DSS proporcionan una referencia de requisitos técnicos y operativos desarrollados para proteger los datos de los titulares de tarjetas. Además, se aplican a todas las entidades que participan en los procesos de las tarjetas de pago, entre las que se incluyen comerciantes, procesadores, adquirentes, entidades emisoras y proveedores de servicios, así como también todas las demás entidades que almacenan, procesan o transmiten datos de titulares de tarjetas.

Estas normas también constituyen un conjunto mínimo de requisitos para proteger datos de titulares de tarjetas y se pueden mejorar con el uso de controles y prácticas adicionales para mitigar otros riesgos.

Los requisitos se pueden englobar en un total de 12, que se listan a continuación:

Normas de seguridad de datos de la PCI: descripción general de alto nivel

Desarrollar y mantener una red segura

1.       Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta

2.       No use contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores

Proteger los datos del titular de la tarjeta

3.       Proteja los datos del titular de la tarjeta que fueron almacenados

4.       Cifrar las transmisión de los datos del titular de la tarjeta en las redes públicas abiertas

Mantener un programa de administración de vulnerabilidad

5.       Utilice y actualice con regularidad los programas o software antivirus

6.       Desarrolle y mantenga sistemas y aplicaciones seguras

Implementar medidas sólidas de control de acceso

7.       Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa

8.       Asignar una ID exclusiva a cada persona que tenga acceso por computador

9.       Restringir el acceso físico a los datos del titular de la tarjeta

Supervisar y evaluar las redes con regularidad

10.   Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas

11.   Pruebe con regularidad los sistemas y procesos de seguridad

Mantener una política de seguridad de información

12.   Mantenga una política que aborde la seguridad de la información para todo el personal

Aplicabilidad

La clave para saber dónde y en qué ámbito se aplican las PCI DSS, es tener muy claro dónde se almacenan, procesan o transmiten datos de cuentas. Los datos de cuentas constan de los datos de los titulares de tarjetas más los datos confidenciales de autenticación.

A continuación, se muestra una tabla que representa todos los datos de cuentas:

Los datos de titulares de tarjetas incluyen:

Los datos confidenciales de autenticación incluyen:

Número de cuenta principal (PAN)

Nombre del titular de la tarjeta

Fecha de vencimiento

Código de servicio

Todos los datos de la banda magnética o datos equivalentres que están en un chip

CAV2/CvC2/CVV2/CID

PIN/Bloqueos de PIN

El factor fundamental que define la aplicabilidad de los requisitos de las PCI DSS es el Número de Cuenta principal (PAN). Los requisitos de las PCI DSS se aplican si se almacena, procesa o transmite un número de cuenta principal (PAN). De forma contraria, si el PAN ni se almacena, ni procesa o transmite, no se aplican los requisitos de las PCI DSS.

Una vez aclarada la aplicabilidad con respecto al PAN, entran en juego el resto de datos, teniendo en cuenta que si el nombre del titular de la tarjeta, el código de servicio y/o la fecha de vencimiento no se almacenan ni procesan ni transmiten con el PAN, ni están presentes de alguna otra manera en el entorno de datos de titulares de tarjeta, se deben proteger de acuerdo con todos los requisitos de las PCI DSS, a excepción de los requisitos 3.3 y 3.4, que sólo se aplican al PAN.

Las PCI DSS representan un conjunto mínimo de objetivos de control que puede ser reforzado con leyes y regulaciones locales, regionales y sectoriales, pudiéndose requerir protección específica de la información de identificación personal u otros elementos de datos (por ejemplo, el nombre del titular de la tarjeta), o definir las prácticas de divulgación de una entidad en lo que respecta a la información de los consumidores. Es importante mencionar que las PCI DSS no sustituyen las leyes locales ni regionales, las regulaciones del gobierno ni otros requisitos legales.

A continuación, se muestra una tabla que indica lo que ocurre al almacenar los diferentes datos de titulares de tarjetas y los datos confidenciales de autenticación:

 

 

Elemento de datos

Almacenam. permitido

Hace que los datos de la cuenta almacenados no se puedan leer según el Requisito 3.4

Datos de la cuenta

Datos titular tarjeta

Nº de cuenta principal

Si

Si

Nombre del titular de la tarjeta

Si

No

Código de servicio

Si

No

Fecha de vencimiento

Si

No

Datos confidenc. autenticación

Datos complementos de la banda magnética

No

No se pueden almacenar según Requisito 3.2

CAV2/CVC2/CVV2/CID

No

No se pueden almacenar según Requisito 3.2

Pin/Bloqueo de PIN

No

 

Como se puede observar en la tabla, los requisitos 3.3 y 3.4 de las PCI DSS sólo se aplican al PAN. Si el PAN se almacena con otros elementos de los datos del titular de la tarjeta, únicamente el PAN debe ser ilegible de acuerdo con el requisito 3.4 de las PCI DSS. Como ya se ha comentado, se deberá tener en cuenta que las PCI DSS sólo se aplican si los PAN se almacenan, procesan y/o transmiten.

Artículo Anterior ¿Qué es el derecho ambiental?
Artículo Siguiente ¿Cómo estimular al cerebro con música?
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Martes, 19 Octubre 2021
            

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Masterclass Tecnología

Tecnología

Caso Práctico - Protocolo MQTT

Tecnología

Brokers MQTT

Tecnología

Session Hijacking

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Noticias más populares

CEUPE Ecuador y el CIEEPI firman convenio de colaboración académica
CEUPE – Ecuador firma el pasado 26 de mayo de 2021 en Quito, Ecuador, el convenio de cooperación académica interinstitucional con el CIEEPI - Colegio de Ingenieros Eléctricos y Electrónicos de Pichinc...
Objetivos y beneficios de la externalización logística
👉Frente a la elevada competencia en el mercado y la tendencia a reducir costes y recortar gastos, los empresarios se centran en su actividad principal y subcontratan la gestión de actividades secundar...
Métodos de análisis de la inversión
El análisis de la inversión forma parte de la teoría de la inversión. La inversión como proceso de aumento del capital del inversor requiere comprender y evaluar la viabilidad de invertir en un proyec...
5 pasos para iniciar en el marketing de afiliación
El marketing de afiliación permite ganar dinero en línea, incluso si no se cuenta con un blog o un sitio web. Después de unos simples pasos se puede comenzar a trabajar e inmediatamente ganar las prim...

EMPRESAS

¿Cómo cambiar la estructura organizativa de una empresa?
Con frecuencia, la decisión de cambiar la estructura organizativa de una empresa es tomada por sus directivos. La primera etapa antes de iniciar la ad...
¿Cómo configurar la ventaja competitiva en la estrategia empresarial?
Con frecuencia, la ventaja competitiva se interpreta como algún tipo de superioridad de la empresa sobre sus competidores. Pero la ventaja competitiva...
¿Qué habilidades debe tener un analista de negocio?
A fin de aportar valor a las empresas con éxito, un analista de negocios debe poseer habilidades duras y blandas por igual. Habilidades blandas en el ...
¿Qué es un proyecto actual y un proyecto de desarrollo?
La gestión de proyectos se ha vuelto últimamente muy recurrente y tiene una explicación. Aunque la actividad actual de la empresa se basa en un proces...

MARKETING

Clasificación y modos de recopilar bases de datos de retargeting
Es importante tener en cuenta que el retargeting no consiste únicamente en mostrar anuncios a aquellos que han estado en tu sitio web, aunque la confi...
¿Qué es la capacidad del mercado?
Se trata de un indicador que aproxima la capacidad de un mercado para consumir un tipo de producto. Definición de la capacidad del mercado En general,...

CIENCIAS

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

Caso Práctico - Protocolo MQTT

Tecnología

Brokers MQTT

Tecnología

Session Hijacking

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Conferencias más vistas

Thumbail
Thumbail
Thumbail
Thumbail
Thumbail

LOGÍSTICA

RRHH

TURISMO

PSICOLOGÍA

TECNOLOGÍA

FINANZAS