12 pasos para garantizar que una organización cumpla con los estándares PCI DSS

La seguridad de los datos, el fraude con tarjetas de crédito y el robo de identidad son temas candentes en todo el mundo en cualquier industria.

Las empresas están preocupadas por proteger las bases de datos que contienen información confidencial sobre clientes y empleados. La Comisión Federal de Comercio de los Estados Unidos estima que hasta 10 millones de estadounidenses han sufrido de identidades robadas cada año.

En respuesta a esta amenaza generalizada, las principales compañías de tarjetas de crédito crearon los Estándares de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) para salvaguardar la información del cliente. PCI DSS representa un conjunto común de herramientas y medidas de la industria para ayudar a garantizar el manejo seguro de la información confidencial.

Se requieren 12 pasos para garantizar que una organización cumpla con los estándares PCI.

Las sanciones por incumplimiento pueden alcanzar hasta $500,000 usd por incidente, sin mencionar los costos de reputación que están asociados con la creación de noticias debido a compromisos de integridad de datos.

Los estándares PCI, que se aplican a los comercios, bancos, proveedores de servicios y procesadores de tarjetas, tienen como objetivo reducir el riesgo de una amenaza de seguridad al exigir el uso adecuado de firewalls, cifrado de mensajes, controles de acceso a computadoras y software antivirus. También requieren auditorías de seguridad frecuentes y monitoreo de red y prohíben el uso de contraseñas predeterminadas.
PCI requiere que las compañías cumplan con 12 estándares bajo los siguientes temas:

Construir y mantener una red segura

1. Instale y mantenga una configuración de firewall para proteger los datos.
2. No utilice los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.

Proteger los datos del titular de la tarjeta

3. Proteja los datos almacenados del titular de la tarjeta.
4. Cifre la transmisión de datos del titular de la tarjeta e información confidencial a través de redes públicas abiertas.

Mantener un programa de gestión de vulnerabilidades

5. Utilice y actualice regularmente el software antivirus.
6. Desarrollar y mantener sistemas y aplicaciones seguros.

Implementar medidas fuertes de control de acceso

7. Restrinja el acceso a los datos según las necesidades comerciales de la empresa.
8. Asigne una identificación única a cada persona con acceso a la computadora.
9. Restrinja el acceso físico a los datos del titular de la tarjeta.

Monitoree y pruebe redes regularmente

10. Rastree y monitoree todo el acceso a los recursos de la red y los datos del titular de la tarjeta.
11. Pruebe regularmente los sistemas y procesos de seguridad.

Mantener una política de seguridad de la información

12. Mantener una política que aborde la seguridad de la información.
    Para obtener información más detallada sobre PCI, visite: www.pcisecuritystandards.org