Las organizaciones que aceptan, procesan, almacenan o transmiten datos de tarjetas de crédito poseen una gran cantidad de información confidencial y potencialmente valiosa. En el mundo moderno del comercio electrónico y las soluciones de compras online, la gran mayoría de empresas aceptan tarjetas de crédito y débito como métodos de pago. El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) es un conjunto de estándares de seguridad que requiere que estas empresas mantengan un entorno informático seguro.
Muchas empresas que abren sitios de comercio electrónico son pequeñas empresas o nuevas empresas con conocimientos o recursos limitados en tecnología de la información (TI). Independientemente de su tamaño o nivel de experiencia, deben cumplir con PCI-DSS. Debido al alcance de estos requisitos, cumplir con las reglas puede ser un objetivo muy desafiante.
¿Qué es PCI-DSS?
El Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) es responsable de desarrollar, administrar y gestionar el PCI-DSS. El Consejo fue formado en septiembre de 2006 por las principales marcas de tarjetas de pago Visa, MasterCard, American Express, Discover y JCB para mejorar la seguridad de las transacciones de pago. Las marcas de pago son responsables de hacer cumplir los estándares, no el PCI SSC.
Los comerciantes se clasifican en uno de cuatro niveles según el volumen de transacciones que procesan y, en algunos casos, su grado de riesgo. Las categorías son ligeramente diferentes aunque muy similares para cada marca de pago. Estamos analizando lo que constituye los niveles de cumplimiento según lo define Visa:
Los comerciantes también pueden clasificarse en el Nivel 1 si han experimentado una violación de datos que comprometió los datos de la cuenta.
Sanciones por Cumplimiento de PCI Las infracciones son impuestas por las marcas de pago y pueden oscilar entre $5,000 y $100,000 por mes según la gravedad de la infracción y el nivel de cumplimiento del infractor. Puede haber multas adicionales en caso de violación de datos que se calculan en función del número de titulares de tarjetas afectados.
¿Cuáles son los requisitos de PCI-DSS?
PCI-DSS aborda sistemas y componentes técnicos y operativos que participan en el procesamiento de datos de titulares de tarjetas. Los estándares se componen de siete objetivos que abarcan doce requisitos relacionados con la protección de datos de los titulares de tarjetas. A continuación se presentan los objetivos y requisitos PCI-DSS asociados que las empresas deben cumplir.
Construir y mantener una red segura es un primer objetivo lógico. Dado que todos los sistemas que procesan y almacenan datos de los titulares de tarjetas se encuentran en su red, es necesario mantenerla a salvo de piratas informáticos y ataques de ciberdelincuentes.
Proteger los datos del titular de la tarjeta es el propósito primordial de PCI-DSS y se logra a través de una variedad de medidas. Estas medidas incluyen realizar copias de seguridad de los datos periódicamente, mantenerlos alejados de usuarios no autorizados y cifrarlos para mayor protección.
Mantener un programa de gestión de vulnerabilidades es esencial para manejar el panorama de ciberseguridad en constante evolución.
Implementar fuertes medidas de control de acceso es necesario para mantener la seguridad y privacidad de los datos del titular de la tarjeta. Debe ser posible responsabilizar a las personas en caso de violación de datos o uso indebido de información confidencial.
El acceso a los datos de los titulares de tarjetas debe restringirse y proporcionarse según sea necesario.
Todas las personas con acceso informático a sistemas que almacenan datos de titulares de tarjetas deben tener una identificación única e identificable.
Es necesario restringir el acceso físico a los sistemas que contienen datos de titulares de tarjetas.
Monitorear y probar redes regularmente son necesarios para garantizar que funcionan correctamente y proporcionan a los datos del titular de la tarjeta el nivel necesario de protección.
Mantener una política de seguridad de la información. es el componente final de PCI-DSS y es necesario para que todos en la organización comprendan su papel en la protección de los datos de los titulares de tarjetas.
Cuando se implementan correctamente, estos objetivos y requisitos protegen los datos de los titulares de tarjetas contra pérdida, robo o uso indebido. El truco consiste en implementarlos correctamente.
Implementación de un entorno informático compatible con PCI-DSS
El alcance de los requisitos PCI-DSS descritos en la sección anterior de este artículo demuestra los desafíos de cumplir con las regulaciones. A continuación se detallan algunos de los desafíos específicos que una pequeña empresa con habilidades de TI limitadas puede encontrar al intentar cumplir con PCI-DSS.
Identificar y actualizar todas las contraseñas predeterminadas y proporcionadas por los proveedores puede resultar extremadamente difícil. Como mínimo, requiere un inventario de todos los componentes de hardware y software seguido de una investigación detallada de las credenciales necesarias para acceder a los elementos. Es muy fácil pasar por alto inadvertidamente un incumplimiento que no se descubre hasta que se realiza la auditoría siguiente. pérdida de datos. Esto puede ser un descuido costoso.
Desarrollar y mantener una política de respaldo que aborde todos los sistemas involucrados con los datos de los titulares de tarjetas puede resultar difícil. Las grandes empresas suelen contar con equipos de respaldo y recuperación dedicados a manejar esta actividad, pero la mayoría de las organizaciones pequeñas no pueden darse ese lujo.
Garantizar que todos los datos estén cifrados durante la transmisión y en reposo es una parte fundamental de PCI-DSS. Cuando hay varios sistemas involucrados en el procesamiento de datos de titulares de tarjetas, esta puede ser una tarea que supera las capacidades de un pequeño equipo de TI.
Optimización del cumplimiento de PCI-DSS
Muchas empresas no cuentan con un departamento de tiempo completo equipado para realizar autoevaluaciones y determinar en qué parte del entorno informático existe potencial para violaciones de PCI-DSS. También pueden carecer de la experiencia técnica o la mano de obra necesaria para implementar y mantener los componentes de una infraestructura que cumpla con los estándares. Es posible que las pequeñas empresas y las que recién ingresan al mercado ni siquiera tengan un departamento de TI.
La solución para las empresas en esta situación es aprovechar las ofertas de Alojamiento compatible con PCI proveedores. Un proveedor de nube confiable puede proporcionar una infraestructura compatible con PCI que permita a los clientes concentrarse en sus objetivos principales y hacer crecer su negocio. Tienen los recursos técnicos para garantizar que los datos del titular de su tarjeta tengan un lugar seguro donde vivir.
Los clientes siguen teniendo parte de la responsabilidad de los datos que almacenan en la nube. Asociarse con la derecha Alojamiento PCI proveedor es un gran paso hacia el cumplimiento de PCI-DSS. Al contratar un proveedor de nube confiable y con experiencia, las pequeñas empresas pueden eliminar los desafíos de construir una infraestructura compatible para realizar negocios en línea.
Biografía del autor:
Robert Agar es colaborador habitual y bloguero de Atlántico.Net vive en el noreste de Pensilvania y se especializa en diversos temas de tecnología de la información. Aporta más de 30 años de experiencia en TI con un enfoque en respaldo, recuperación ante desastres, seguridad, cumplimiento y la nube.
ⓒ 2023 . .
Etiquetas:
