El PCI DSS es un estándar de seguridad mundial elaborado por el PCI SSC . La organización fue fundada por American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa, Inc. El PCI DSS se creó para minimizar y prevenir el fraude con tarjetas de crédito en cualquier organización que procese pagos con tarjeta de crédito. Si tu empresa almacena, procesa o transmite información de tarjetas de crédito, tienes que cumplir con este estándar de seguridad.
La versión actual del PCI DSS es la 1.2.1, de julio de 2009. ¿Cuáles son los requisitos y los procedimientos de evaluación de seguridad?
Los doce requisitos
Crear y mantener una red segura
- Requisito 1: Instalar y mantener una configuración de cortafuegos para proteger los datos de los titulares de tarjetas
- Requisito 2: No utilizar los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad
Proteger los datos de los titulares de tarjetas
- Requisito 3: Proteger los datos almacenados de los titulares de tarjetas
- Requisito 4: Cifrar la transmisión de los datos de los titulares de tarjetas a través de redes públicas abiertas
Mantener un programa de gestión de vulnerabilidades
- Requisito 5: Usar y actualizar regularmente software o programas antivirus*
- Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguros
Implementar medidas sólidas de control de acceso
- Requisito 7: Restringir el acceso a los datos de los titulares de tarjetas según la necesidad de conocerlos por motivos de negocio
- Requisito 8: Asignar un identificador único a cada persona con acceso a los ordenadores
- Requisito 9: Restringir el acceso físico a los datos de los titulares de tarjetas
Supervisar y probar las redes con regularidad
- Requisito 10: Realizar un seguimiento y supervisar todos los accesos a los recursos de red y a los datos de los titulares de tarjetas
- Requisito 11: Probar periódicamente los sistemas y procesos de seguridad
Mantener una política de seguridad de la información
- Requisito 12: Mantener una política que aborde la seguridad de la información para empleados y contratistas
Más información
Puedes encontrar toda la información detallada, un montón de documentos con normas y documentación de apoyo en muchos idiomas en el PCI Security Standards Council.