12 requisitos que debes tener en cuenta.

La imagen muestra una figura oscura de pie amenazante en un túnel oscuro.
¡Los ladrones de tarjetas de crédito están detrás de usted!

Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) Incluye 12 requisitos de cumplimiento Creado por el PCI Security Standards Council. Este estándar garantiza que todas las empresas que aceptan tarjetas de crédito lo hagan de forma segura.

No existe una aplicación federal de PCI DSS en los EE. UU., pero algunos estados tienen leyes similares.El cumplimiento de PCI DSS puede Proteja su negocio de acciones legales. Todo esto varía según su ubicación y las leyes federales y locales. Este estándar y sus requisitos pueden ayudarlo a tener una red de pago más segura y evitar problemas legales si sus datos de pago se ven comprometidos.

En este artículo, le presentaré PCI DSS, sus 12 requisitos de cumplimiento y por qué implementarlo es importante para su empresa. Entonces, comencemos a comprender qué es PCI DSS y a quién se aplica.

¿Qué es PCI DSS? ¿A quién se aplica?

Como se mencionó anteriormente, PCI DSS es Normas de seguridad para pagos con tarjeta de créditoFue creado para mejorar la seguridad de los sistemas de pago empresariales.Fue fundada en 2007 por Consejo de Normas de Seguridad PCIuna junta independiente de las principales marcas de tarjetas de crédito: Visa, MasterCard, American Express, Discover y JCB.

Las reglas y regulaciones de PCI DSS se aplican a cualquier organización Aceptar, transmitir o almacenar cualquier dato del titular de la tarjeta, independientemente del tamaño de la empresa o del número de transacciones. Sin embargo, como mencioné anteriormente, el gobierno federal de los Estados Unidos no aplica PCI DSS. Sin embargo, algunas leyes estatales lo mencionan.

podrías preguntar Cómo cumplir con PCI DSS ¿Cuáles son sus 12 requisitos de cumplimiento? Por favor, lea atentamente para averiguarlo.

12 Requisitos de cumplimiento de PCI DSS

Los siguientes son 12 Requisitos de cumplimiento de PCI DSS, Qué hacen y cómo protegen los datos del titular de la tarjeta. El cumplimiento de estos 12 requisitos es absolutamente esencial si desea asegurarse de que su empresa esté certificada.

Prepare y configure su sistema

1. Instala el cortafuegos

Instalar y mantener firewalls de hardware y software. Debe configurar este firewall para proteger los datos del titular de la tarjeta. Además, su firewall debe tener reglas estrictas sobre qué tráfico puede entrar y salir.

2. Configuración de seguridad de todos los sistemas

No se debe usar la configuración lista para usar Se utiliza para contraseñas del sistema y otros parámetros de seguridad. En su lugar, debe implementar una gestión adecuada de la configuración del sistema.

Cifre y proteja los datos de sus clientes

3. Protección de los datos almacenados de la cuenta del titular de la tarjeta

Para asegurarse de que los datos de la cuenta estén protegidos, asegúrese de datos encriptados Y tiene un control estricto sobre la base de datos.

4. Transmisión cifrada de datos del titular de la tarjeta

Es importante tener en cuenta que los datos del titular de la tarjeta se pueden usar en cualquier lugar, lo que significa que atraviesan redes abiertas o públicas.Esta es la razón por la que debe proteger los datos del titular de la tarjeta totalmente encriptadoTambién debe tener en cuenta dónde se transmiten estos datos y desde dónde se reciben. No confíe en SSL antiguo y TLS temprano para una protección adecuada.

5. Usa software antivirus

recuerda invertir acreditado software antivirusAsegúrese de mantener este software antivirus actualizado en todo momento. Además, considere obtener protección contra malware, ya sea como software separado o empaquetado con su antivirus.

Mantener y restringir el acceso a los datos de los clientes

6. Mantener sistemas y aplicaciones seguras

tu interior El sistema debe estar actualizado y bien mantenido.Los sistemas y el software críticos deben obtener parche regularmente.

7. Restringir el acceso a los datos del titular de la tarjeta

Las personas solo pueden acceder a los datos del titular de la tarjeta durante Las empresas necesitan conocer los conceptos básicos. Recuerde anotar quién tiene acceso a estos datos.Una sistema de control de acceso A menudo se requiere monitorear los inicios de sesión y los sistemas de monitoreo, así que téngalo en cuenta.

8. Asignar identificación única

Considere asignar Identificación única para todos y asegúrese de actualizar su contraseña de acceso al sistema con regularidad. También es una buena idea implementar la autenticación multifactor para todos los sistemas.

9. Restrinja el acceso físico a los datos del titular de la tarjeta

Supervise continuamente su TPV. Debe asegurarse de que el acceso físico a las áreas que contienen servidores o computadoras permanezca bloqueado y controlado.Mantén a tus empleados actualizados Formarlos en las mejores prácticas de seguridad..

Pruebe, configure y documente su sistema

10. Configure el software de monitoreo y alerta

Los componentes del sistema y los datos del titular de la tarjeta deben configurarse con un software de registro y alerta para que pueda rastrear quién accedió a los datos y cuándo.también necesitas Crear administración de registros y reglas del sistema de administración de registros para esto.

11. Pon a prueba tu sistema de seguridad

Debe probar su sistema regularmente. Debe conocer su entorno. Es importante que ejecute análisis de vulnerabilidad trimestrales y realice pruebas de penetración.

12. Documenta tu política de seguridad de la información

Todo sobre sus sistemas y procesos de seguridad debe ser documentadoDebe crear un plan de respuesta a incidentes, así como un proceso de evaluación de riesgos. Póngalos en su lugar en caso de que algo salga mal.

Ahora que comprende los 12 requisitos, es hora de dar el siguiente paso y obtener la certificación de cumplimiento de PCI DSS.

12 requisitos que debes tener en cuenta »
¡Incluso comprar una taza de café podría dejarlo vulnerable a la piratería! (Fuente: Unsplash)

Cómo convertirse en compatible con PCI DSS

Una vez que cumpla con los 12 requisitos, puede seguir los siguientes 5 pasos para lograr la certificación PCI DSS completa.El proceso de certificación es muy simple, pero es posible que necesite un un tercero para comprobar su trabajo y autenticarte en el proceso. ¡Ayuda!vamos a sumergirnos 5 pasos para obtener la certificación completa:

  1. Ver todos los estándares de cumplimiento Vea dónde está su negocio y cómo los estándares generales de PCI describen su negocio.
  2. Realice un cuestionario de autoevaluación. Después de completar el cuestionario, podrá ver lo que falta y lo que debe corregirse antes de pasar al siguiente paso.
  3. Encuentre un proveedor de tokenización de datos. Pueden etiquetar los datos de sus clientes para hacerlos más seguros cuando están en tránsito.
  4. Complete la solicitud formalUna vez que toda su tecnología esté en su lugar y correctamente configurada, puede completar una prueba formal de cumplimiento. También puede contratar a un asesor de seguridad calificado para revisar su sistema y escribir un informe para validar su sistema.
  5. Presente su papeleo con compañías de tarjetas de crédito y bancos. ¡Después de hacer esto, estarás certificado! ¡Ahora estás listo!

¡Felicidades! ¡lo hiciste! Usted se prepara para el éxito y hace que la seguridad de los datos de la tarjeta de crédito del cliente sea un elemento intransferible. Ahora, ¡vamos a terminarlo!

línea de fondo

Si está utilizando los datos de pago del cliente, está en su Aproveche al máximo el cumplimiento. Esto se debe a que, como propietario de una empresa, desea proteger los datos de sus clientes y la reputación de su empresa.Además, en caso de un ciberataque, obtendrá escudo desde muchos Posibles problemas legalessi no cumple.

En resumen, comprende qué es PCI DSS, cuáles son sus 12 requisitos y cómo cumplirlos. También expliqué cómo solicitar la certificación oficial. Básicamente, PCI DSS está diseñado para proteger los datos del titular de la tarjeta. Debe desarrollar mejores prácticas para asegurarse de que nadie pueda revelar la información de la tarjeta de sus usuarios. Espero que este artículo le sea útil, siempre puede consultarlo si lo necesita en el futuro.

¿Tiene preguntas adicionales sobre PCI DSS y sus 12 requisitos de cumplimiento?Controlar Preguntas más frecuentes y recurso sección a continuación.

Preguntas más frecuentes

¿Qué es PCI DSS?

PCI DSS significa Estándar de seguridad de datos de la industria de tarjetas de pago. Fue elaborado por un grupo de compañías de tarjetas de crédito para proteger los datos de los consumidores y reducir la cantidad de ataques mediante la implementación de medidas de seguridad.

¿Quién creó PCI DSS?

Los fundadores son American Express, Discovery Financial Services, JCB, MasterCard y Visa. Trabajaron juntos para crear un sistema de requisitos que protegiera mejor a los consumidores. Es posible que el cumplimiento de este estándar no sea un requisito legal en todas partes, pero es mejor implementar los principios de PCI DSS en sus operaciones.

¿Qué son los datos del titular de la tarjeta?

De acuerdo con PCI DSS, los siguientes son datos confidenciales del titular de la tarjeta: PAN, nombre del titular de la tarjeta, código de servicio y fecha de vencimiento. También puede incluir datos de seguimiento de la banda magnética o datos equivalentes en el chip, CAV2/CVC2/CVV2/CID/CVN2 y bloques PIN/PIN.

¿Quién debe cumplir?

Cualquiera que acepte pagos con tarjeta de crédito debe cumplir con PCI DSS. Sin embargo, debe conocer las leyes y regulaciones locales/estatales/federales que pueden afectar la aplicabilidad de los requisitos de PCI DSS.

¿Cuál es la definición de “comerciante” en PCI DSS?

A los efectos de PCI DSS, un comerciante es cualquier entidad que acepta tarjetas de pago con los logotipos de las marcas de pago participantes de PCI SSC (Visa, Mastercard, AMEX, etc.) como pago de bienes y/o servicios. Todos los comerciantes deben cumplir con este estándar. De lo contrario, podrían poner en riesgo los datos del titular de la tarjeta.

recurso

TechGenix: artículo sobre cortafuegos en la nube frente a cortafuegos tradicionales

Descubra en qué se diferencian los cortafuegos de la nube de los cortafuegos tradicionales.

TechGenix: artículo sobre la configuración de alertas de registro

Aprenda a instalar y configurar alertas de registro en su sistema.

TechGenix: artículos sobre IA y política de seguridad

Explore lo que la IA puede hacer por su estrategia de seguridad.

TechGenix: artículo sobre cibergangs y datos de tarjetas de crédito

Conozca qué intentan hacer los piratas informáticos para robar datos de tarjetas de crédito.

TechGenix: artículo sobre cómo se venden los datos de tarjetas de crédito en línea

Aprenda cómo se pueden robar los datos de la tarjeta de crédito y luego venderlos en línea.

Facebook
Twitter
LinkedIn
Telegram
WhatsApp

Deja un comentario