jueves, 25 de septiembre de 2008

El estándar PCI-DSS

Las empresas que manejan las principales marcas de tarjetas de crédito tales como VISA, MASTERCARD entre otras, para proteger la información de los usuarios y luchar contra la suplantación, clonación, falsificación y otros tipos fraudes que se producen en los diferentes comercios (reales y virtuales) que aceptan las tarjetas de débito y crédito como medio de pago, decidieron crear las normas de seguridad PCI-DSS (Payment Card Industry - Data Security Standard).

La idea es de que todas las empresas que tengan relación con este medio de pago se sometan a los procesos adecuados para validar su cumplimiento y así evitar comprometer la información contenida en las tarjetas y lógicamente la imagen de la organización.

La utilización de las tarjetas de crédito y débito ha crecido tremendamente, especialmente debido al auge del comercio electrónico y es muy importante mantener esta comodidad siempre y cuando se mantenga la confianza y seguridad en este medio.

Realmente las normas que se dictan a través de este estándar son teóricamente conocidas pero realmente no están implementadas en la práctica, tampoco quiere decir que por más que una empresa se encuentre certificada como tal ya se encuentre exenta de fraudes.

Los requisitos que dicta el estándar son los siguientes:

1. Construir y mantener una infraestructura segura.
Requisito 1: Instalar y mantener una configuración de firewall para proteger los datos de titulares de tarjetas.
Requisito 2: No emplear configuraciones por defecto en los elementos de protección.

2. Proteger los datos de los titulares
Requisito 3: Proteger los datos de los titulares de tarjetas almacenados.
Requisito 4: Cifrar las transmisiones de datos de titulares de tarjeta en redes abiertas y públicas.

3. Mantener un programa de gestión de las vulnerabilidades

Requisito 5: Emplear y actualizar periódicamente el software antivirus.
Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguras.

4. Implementar medidas fuertes de control de acceso
Requisito 7: Restringir el acceso a los datos de titulares al ámbito de lo estrictamente necesario para ofrecer el servicio.
Requisito 8: Asignar un identificador único a cada persona con acceso a equipos de proceso.
Requisito 9: Restringir la seguridad física para acceder a los datos de titulares.

5. Monitorizar y someter a pruebas regulares las redes
Requisito 10: Monitorizar y hacer seguimiento a todos los recursos de red y a los datos de titulares.
Requisito 11: Probar regularmente la seguridad de los sistemas y procesos.

6. Mantener una Política de Seguridad de la Información
Requisito 12: Mantener una política que cubra la seguridad de la información.

Finalmente considero de los más importante no está en certificarse solo por certificarse y cumplir la norma, más bien lo más importante es, que en la alta dirección realmente exista un verdadero compromiso y una constante preocupación por mantener en forma segura y confiable el prestigio de su organización y la confianza de los clientes.

2 comentarios:

Anónimo dijo...

Realmente este standard no trae nada nuevo, lo importante es poner en la práctica todas las recomendaciones conocidas para precautelar la seguridad de la informacion...

Juana Emilia Kahlo dijo...

Hola Marcelo.
que buen blog.

te envio un abrazote y espero verte muy proto.