Los requisitos para el cumplimiento de PCI

Tarjetas de Pago Estándares de la Industria de Datos de Seguridad (PCI-DSS, o PCI para abreviar) es un conjunto de normas de cumplimiento aprobados por las grandes instituciones financieras, tales como VISA, Mastercard, American Express y Discover. Esta normativa regula las empresas que gestionan o datos de identificación del cliente de la tienda, como tarjeta de crédito, cuenta bancaria y números de la Seguridad Social.

¿Cuáles son los requisitos de cumplimiento?

PCI-DSS se divide en 12 requisitos que rigen todo, desde la configuración de la red y la segregación, las políticas de contraseñas y anti-virus, encriptación y ciclo de vida de desarrollo de software de la empresa, si se están desarrollando aplicaciones internas.

Construir y mantener una red segura

Los dos primeros requisitos se ocupan de la configuración del cortafuegos de una empresa y el cambio de los valores predeterminados de los proveedores, tales como las contraseñas por defecto, el software utiliza la empresa.

Proteger a los Titulares de Tarjetas

Requisitos tres y cuatro se refieren a la encriptación de datos donde se almacena y el cifrado de datos mientras se está transmitiendo. Estos son requisitos críticos y por lo general son examinadas por los auditores de PCI. Usted necesita asegurarse de que tiene una buena política de encriptación para cubrir estos dos requisitos.

Mantener un programa de gestión de vulnerabilidades

Requisitos cinco y seis están el mantenimiento anti-virus y el desarrollo de software. En el primer caso, se necesita de una política anti-virus, lo que no suele ser larga y se puede rodar en la Política de Seguridad en el requisito 12. Requisito seis es uno de los mayores sectores de la auditoría de PCI-DSS y debe tener una documentado ciclo de vida de desarrollo de software. Requisito 6.6 también se refiere a las pruebas de penetración de aplicaciones web, que tendrá que hacer, antes de emitir un certificado de cumplimiento del auditor PCI. Existen herramientas, como una granizada o AppScan, que debe satisfacer este requisito.

Implementar medidas de control de acceso Fuertes

Requisitos de siete a nueve de acuerdo con la limitación del acceso a los datos de titulares de tarjetas sólo los que tienen responsabilidades en la necesidad de conocer, asignar una identificación única a cada persona que tenga acceso a los datos de titulares de tarjetas y restringir el acceso físico al centro de datos donde se almacena la información del titular. Algunas empresas son capaces de moverse por requerimiento de nueve por tener una compatible con PCI, que sirva de almacén gestionado proveedor de los datos para ellos.

Regularmente Monitorear y redes de prueba

Requisitos 10 y 11 de acuerdo con el registro de acceso a la red en el entorno de datos de titulares de tarjetas y un horario de las inspecciones periódicas de todos los sistemas y procesos.

Mantener una política de seguridad de la información

Requisito 12 se refiere a la política de seguridad, que puede y debe abarcar a todos los otros 11 requisitos de PCI-DSS. Esta es la mayor parte de la documentación que debe ser producido y que es útil para contratar a un escritor técnico profesional para hacer esto.