Informar de un incidente

Seleccionar página

PCI DSS

PCI DSS es un conjunto de requisitos para la seguridad de datos de cuentas de
pago, y es vital si manejas cualquier tipo de datos de tarjeta de crédito dentro de tu
organización. Es importante tener en cuenta que recientemente se han realizado
cambios en torno a PCI DSS. Es importante que revalúes tus procesos actuales
para asegurarte de que todavía estás cumpliendo con los requisitos. Nuestra
publicación de blog a continuación puede ayudarte a entender más acerca de los
cambios. Si tienes alguna pregunta o estás interesado en los servicios de PCI DSS,
contáctanos hoy.

Nuestra amplia experiencia, acreditaciones y testimonios de clientes demuestran por
qué nos destacamos de la multitud. LRQA Nettitude es una de las organizaciones más
experimentadas del mundo en consultoría de cumplimiento de PCI, auditoría y
soluciones de seguridad pragmáticas.

Consulta general

¿Qué es PCI DSS?

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un estándar de seguridad de la información reconocido internacionalmente diseñado específicamente para aplicarse a organizaciones que manejan datos de tarjetas de crédito.

  • PCI DSS se creó con un objetivo simple: asegurarse de que las empresas puedan procesar pagos con tarjeta de crédito y débito de manera segura, protegiendo a las empresas y a los consumidores y reduciendo la probabilidad de fraude con tarjeta.
  • Los QSAs de PCI (Evaluadores de Seguridad Calificados de PCI) son individuos certificados para evaluar a comerciantes y proveedores de servicios contra el estándar, y proporcionar un informe formal de cumplimiento (ROC).

¿Quién debe cumplir con PCI DSS?

Toda organización que procesa datos de tarjetas debe cumplir con PCI DSS. Los comerciantes suelen ser empresas que reciben pagos por un servicio que venden, como un minorista o un centro de llamadas. Dependiendo de cómo un comerciante procese los pagos con tarjeta y cuántas transacciones procese por año, los requisitos para demostrar el cumplimiento con PCI DSS variarán.

PCI DSS también puede aplicarse a organizaciones que proporcionan servicios a empresas que manejan datos de tarjetas de crédito, como centros de datos y proveedores de servicios administrados. Esto es cierto incluso si el proveedor de servicios en sí no procesa pagos con tarjeta ni tiene acceso a información de tarjetas de crédito. Además de apoyar el cumplimiento de PCI DSS de sus propios clientes, los proveedores de servicios pueden diferenciarse de su competencia al cumplir con PCI DSS.

¿Por qué es importante el cumplimiento con PCI?

Cumplir con PCI DSS permite a tu organización demostrar su compromiso con el mantenimiento de un entorno seguro para tu banco y tus clientes.

Tu organización puede reducir el riesgo de una violación de datos de tarjetas de crédito mediante:

  • Implementar los controles de PCI DSS apropiados para cómo almacenas, procesas y transmites datos de titulares de tarjetas.
  • Contratar a un QSA para validar de forma independiente tu cumplimiento.
  • Mantener los requisitos de PCI DSS como «negocio habitual».

¿Cuáles son las sanciones por incumplimiento de PCI DSS?

Cualquier organización que maneje datos de tarjetas de crédito pero no cumpla con PCI DSS corre el riesgo de sufrir diversas consecuencias financieras y de reputación.

  • Multas por incumplimiento: una multa regular de tu banco por no ser conforme.
  • Daño reputacional en caso de una violación.
  • Incapacidad para procesar pagos.
  • Multas relacionadas con GDPR y DPA en caso de una violación.
  • Multas de tu banco en caso de una violación.

Para reducir el riesgo y evitar sanciones como resultado de una violación o incumplimiento, las organizaciones deben comprender cómo almacenan, procesan y transmiten datos de tarjetas de crédito y asegurarse de que todos los requisitos aplicables de PCI DSS estén en su lugar.

¿Cuáles son los 12 requisitos para PCI DSS?

PCI DSS se divide en 12 secciones, cada una con una serie de requisitos específicos. En total hay más de 300 requisitos individuales, y dependiendo de cómo proceses los pagos con tarjeta, algunos o todos estos se aplicarán a tu organización.

Objetivos de contro Requisitos
Crear y
mantener una red y
sistemas seguros
  1. Instalar y mantener una configuración de firewall para proteger los datos de los titulares de tarjetas.
  2. No usar contraseñas de sistema predeterminadas suministradas por el proveedor u otros
    parámetros de seguridad.
Proteger los datos de los
titulares de tarjetas
  1. Proteger los datos de los titulares de tarjetas almacenados.
  2. Encriptar la transmisión de los datos de los titulares de tarjetas a través de redes públicas abiertas.
Mantener un programa de
gestión de vulnerabilidades
  1. Proteger todos los sistemas contra malware y actualizar regularmente el software o los programas antivirus.
  2. Desarrollar y mantener sistemas y aplicaciones seguros.
Implementar
medidas fuertes de control
de acceso
  1. Restringir el acceso a los datos de los titulares de tarjetas según las necesidades del negocio.
  2. Identificar y autenticar el acceso a los componentes del sistema.
  3. Restringir el acceso físico a los datos de los titulares de tarjetas.
Monitorizar y probar
regularmente las redes
  1. Seguir y monitorizar todo el acceso a los recursos de red y los datos de los titulares de tarjetas.
  2. Probar regularmente los sistemas y procesos de seguridad.
Mantener una política de
seguridad de la información
  1. Mantener una política que aborde la seguridad de la información para todo el personal.

El desafío del cumplimiento de PCI DSS

PCI DSS puede parecer complejo y abrumador, y simplemente otro régimen de cumplimiento que se debe seguir, pero así no lo vemos en LRQA Nettitude. Muchos comerciantes ven el cumplimiento de PCI DSS como una carga y un proceso complicado, y les resulta difícil interpretar los más de 300 requisitos y entender cómo deben implementarlos. El mundo de PCI DSS está lleno de siglas, opiniones y mitos, y obtener una respuesta clara a una pregunta simple a menudo se siente como una lucha cuesta arriba.

La Solución

LRQA Nettitude no solo quiere ser su QSA, queremos ser su socio de cumplimiento de PCI DSS. Adoptamos un enfoque renovador para el cumplimiento de PCI DSS, yendo más allá de simplemente auditar su organización. Somos consultores, odiamos la complejidad y nos esforzamos por simplificar y ofrecer soluciones pragmáticas.

¿Qué significa esto? Significa que un consultor de LRQA Nettitude trabajará con usted para entender su organización, centrándose en por qué acepta pagos en primer lugar y asegurándose de que su estrategia de PCI DSS sea una que respalde el negocio.

Lo llevaremos en un viaje para cumplir con los requisitos, y podemos apoyarlo en cada paso del camino, comenzando con un análisis de brecha para comprender su posición y alcance actuales.

Tenemos más de 10 años de experiencia en ayudar a nuestros clientes a reducir su alcance de PCI DSS y simplificar lo que queda, y como no tomamos un enfoque de «marcar la casilla» para el cumplimiento, ayudaremos a encontrar la solución adecuada para su organización.

Convertirse en Conforme con PCI DSS: ¿Qué, Cómo, Cuándo?

El objetivo final es, por supuesto, cumplir con los requisitos y poder informar su estado de cumplimiento, pero ¿cómo? Es más fácil pensar en cómo y qué como dos factores independientes.

Los requisitos para demostrar el cumplimiento con PCI DSS varían según cómo procese los pagos con tarjeta y cuántas transacciones procesa por año. Su volumen de transacciones determina cómo informa su estado, y los métodos utilizados para procesar pagos definen lo que necesita cumplir en primer lugar.

¿Qué?: PCI DSS tiene más de 300 requisitos, pero la buena noticia es que no todos pueden aplicarse a su organización. De hecho, parte del proceso de reducción de alcance que LRQA Nettitude puede llevarlo a través es tratar de minimizar el número de requisitos que le son aplicables. Un QSA de LRQA Nettitude lo ayudará a determinar cuál es su alcance y qué requisitos son aplicables, incluso estamos encantados de ayudarlo a discutir esto con su banco adquirente. 

Evaluación y reporte in situ sobre el cumplimiento (ROC) Autoevaluación validada Autoevaluación
Lo que obtiene
  • Evaluación in situ por un QSA
  • Informe detallado sobre el cumplimiento
  • Atestación de cumplimiento
  • Revisión in situ por un QSA
  • Cuestionario de autoevaluación (SAQ) y atestación de cumplimiento firmada por un QSA
  • Sin aprobación de un QSA
  • La organización completa el cuestionario de autoevaluación (SAQ) y la atestación de cumplimiento
¿Por qué este enfoque?
  • Obligatorio por parte de su banco si procesa >6 millones de transacciones
  • Experiencia de una violación de seguridad
  • Solicitud del banco
  • Proveedor de servicios que demuestra cumplimiento a sus clientes
  • Alto nivel de garantía independiente
  • Evaluación completa no requerida por un banco si procesa <6 millones de transacciones
  • Nivel moderado de garantía independiente
  • Volumen de transacciones bajo
  • Sin garantía independiente

La tabla anterior proporciona una descripción general de cómo una organización puede demostrar su cumplimiento con PCI DSS. Su QSA puede ayudarlo a determinar cuáles son sus requisitos de informe obligatorios, pero es importante tener en cuenta que cualquier organización puede optar por completar una evaluación en el sitio, independientemente de su volumen de transacciones.

Cuándo: El cumplimiento de PCI DSS no es un requisito nuevo, por lo que si su organización procesa transacciones con tarjeta de crédito, debe ser compatible ahora mismo. En realidad, el impulso para lograr la conformidad a menudo se desencadena por una solicitud de un banco adquirente (para un comerciante) o un cliente (para un proveedor de servicios). Los bancos a menudo establecen plazos, que debe discutir con su QSA durante el proceso de análisis de brechas.

Cuando se completa un ROC o SAQ, ya sea por un QSA o una autoevaluación, es válido por un año. La evaluación debe repetirse antes de la fecha de vencimiento para asegurarse de que no haya una interrupción en la conformidad.

Mantener la conformidad entre las dos evaluaciones es crucial, y LRQA Nettitude ofrece un paquete de soporte de negocios habituales para ayudar con esto. Si ocurre un cambio significativo en cualquier momento entre las evaluaciones, también puede ser necesario evaluar inmediatamente, incluso si no ha pasado el año completo. De nuevo, un QSA de LRQA Nettitude puede ayudarlo a determinar si es probable que se requiera un cambio..

¿Por qué elegir a LRQA Nettitude como su socio de conformidad con PCI DSS?

LRQA Nettitude ha sido una empresa QSA registrada desde hace más de 10 años. Nuestros QSA (Asesores de seguridad calificados: responsables de evaluar su conformidad) tienen una amplia experiencia trabajando con clientes en muchos sectores, desde minoristas hasta construcción y desde finanzas hasta transporte. Nuestro equipo de QSA es mucho más que auditores y brinda consultoría a nuestros clientes en varias disciplinas, incluido PCI DSS.

Tenemos una rica experiencia técnica, por lo que podemos ayudar a su organización a cerrar la brecha entre tecnología, negocios y conformidad. Tenemos una reputación con nuestros clientes por adoptar un enfoque pragmático y realista de PCI DSS, y nuestra historia de proporcionar evaluaciones de PCI DSS para algunos de los minoristas y proveedores de servicios más grandes del Reino Unido significa que es probable que hayamos enfrentado muchos de los desafíos que su organización debe superar antes.

Nuestro equipo de QSA puede ayudarlo con cada paso del camino, que incluye:

  • Realización de un análisis de brechas de PCI DSS
  • Talleres y soporte de PCI DSS
  • Revisión y creación de políticas y procedimientos de PCI DSS
  • Completar sus servicios de ASV de PCI DSS
  • Realización de evaluaciones / auditorías de PCI DSS
  • Ayudar a apoyar su mantenimiento continuo de PCI DSS

¿Ya es compatible con PCI DSS?

Si su organización es o ha sido previamente compatible con PCI DSS, aún podemos ayudarlo. Además de ayudar a nuestros clientes a lograr su conformidad inicial, ofrecemos soporte continuo para negocios habituales. Las organizaciones invierten tiempo, esfuerzo y dinero significativos en lograr la conformidad, y mantener una relación cercana con un socio de QSA ayuda a proteger esa inversión.

Si está pensando en asociarse con una nueva empresa QSA para su próxima evaluación, póngase en contacto y uno de nuestro equipo puede hablar en más detalle sobre cómo podemos ayudarlo.

Ponte en contacto para hablar con uno de nuestros expertos…