Estándar de seguridad tarjetas de pago

Estándar de Seguridad de los Datos de la Industria de las Tarjetas de Pago

En 2004, Visa y MasterCard crearon un conjunto de procesos y requisitos de la industria –el Estándar de Seguridad de Datos de la Industria de las Tarjetas de Pago (PCI DSS, Payment Card Industry Data Security Standard, en sus siglas en inglés), apoyados por todos los sistemas internacionales de pago con tarjetas.

En septiembre de 2006, una organización independiente de la que forman parte representantes de todas las organizaciones que participan en la industria de las tarjetas (entidades financieras, proveedores de servicios, fabricantes y comercios), el Consejo de Seguridad de los Estándares de la Industria de las Tarjetas de Pago (PCI Security Standards Council), se hizo cargo de este conjunto de normas. El Consejo es ahora responsable de los estándares y de su desarrollo.

El Consejo mantiene y distribuye el PCI DSS así como los estándares para software de seguridad o los dispositivos para la introducción del PIN. No obstante, Visa Europe continúa supervisando el cumplimiento de los estándares de seguridad de los datos y gestionando las iniciativas de validación para todas las tarjetas Visa emitidas en el mercado europeo.

El objetivo del PCI DSS es garantizar que los datos sensibles de las cuentas de los titulares de tarjeta estén siempre seguros. Deben ser utilizados por cualquier organización que almacene, transmita o procese datos de cuentas de titulares de tarjetas o de transacciones realizadas con éstas. Todas estas organizaciones deben cumplir con estos estándares como mínimo, que protegen los datos de los titulares y minimizan sus propios riesgos financieros y de reputación.

Visita el sitio web del PCI Security Standards Council

Cumplimiento del PCI DSS

Todas las organizaciones que almacenan procesan o transmiten datos de los titulares de tarjetas Visa, incluyendo a las entidades financieras, comercios y proveedores de servicios deben cumplir con este estándar. El PCI DSS se aplica a todos los canales de pago, incluyendo las tiendas a pie de calle, los comercios online y las ventas por correo o telefónicas. Los programas de cumplimiento de Visa Europe validan el respeto y aplicación del PCI DSS.

11º Realizar de forma regular tests de los sistemas y procesos de seguridad.
Estándar de Seguridad de los Datos de la Industria de las Tarjetas de Pago  
Crear y mantener una red segura 1º Instalación y mantenimiento de un cortafuegos para proteger los datos.
2º Prohibición de utilizar valores “por defecto” (proveedor / fabricante) para las contraseñas del sistema y otros parámetros de seguridad
Proteger los datos de los titulares de tarjetas 3º Protección de los datos almacenados
4º Transferencia cifrada de datos sobre el titular de la tarjeta y otros datos personales en las redes públicas.
Mantener un programa de control de vulnerabilidades 5º Instalación y actualización periódica de un antivirus.
6º Desarrollo y uso de sistemas y aplicaciones seguros.
Implantar rígidas medidas de control de accesos 7º Limitación del acceso a los datos, reservado únicamente lo estrictamente necesario
8º Asignación de un identificador personal a cada persona que tenga acceso al sistema informático.
9º Restricción del acceso físico a los datos de los titulares de tarjetas.
10º Seguimiento y control del todos los accesos a los recursos de la red y a los datos de los titulares de tarjeta
11º Realizar de forma regular tests de los sistemas y procesos de seguridad.
Control y prueba regular de las redes
Mantener una política de seguridad de la información 12º Mantener una política de seguridad de la información

El PCI DSS cubre todos los aspectos de la protección de los datos de las tarjetas de cualquier marca. Consiste en 12 requisitos básicos, categorizados de la siguiente forma: Cumpliendo con el PCI DSS, las entidades financieras miembro de Visa, comercios y proveedores de Servicios no sólo cumplen con sus obligaciones para con el sistema de pagos, sino que también ayudan a construir una cultura de seguridad que beneficia a todos.

Validación de Cumplimiento

Independientemente de la obligación de cumplir con el PCI DSS, las partes involucradas deben verificar y demostrar su grado de cumplimiento con el estándar. Es una función crítica que identifica y corrige las vulnerabilidades y protege a los clientes garantizando que se mantienen los niveles adecuados de seguridad de la información de los titulares de las tarjetas.

Visa Europe ha definido y priorizado varios niveles de validación del cumplimiento basados en el volumen de transacciones y en la exposición y riesgo potencial que introducen en el sistema los comercios y proveedores de servicios.