Uno de los puntos iniciales es comprender que PCI no es un producto que tenga fecha de vencimiento, sino más bien, se trata de una certificación que exige un seguimiento y  cumplimiento permanente con revisiones periódicas.

El cumplimiento lo exigen las entidades emisoras de las tarjetas de crédito (Visa, Master Card, Amex) y no el Consejo de PCI (PCI Council). En México es requisito para poder procesar cobros con cualquier tipo de tarjeta.

La historia de PCI comienza en 2006 cuando cinco entidades financieras, a raíz del alto índice de fraudes con tarjetas decidieron crear un programa de seguridad de datos y fundaron un consejo denominado PCI Security Standards Council.

Grupo conformado inicialmente por American Express, Discover Financial Services, JCB International, Master Card y VISA. Posteriormente, varias organizaciones se han ido sumado a los esfuerzos para mejorar los estándares y vigilar su cumplimiento.

Así es como surge el estándar PCI-DSS que significa Payment Card Industry – Data Security Estándar y consiste de una serie de normas de seguridad que exigen 12 requerimientos agrupados en 6 categorías.

Principios que busca proteger

• Construir y mantener redes seguras.
• Proteger la información del derechohabiente.
• Contar con programas de pruebas de vulnerabilidades.
• Implementar controles de acceso robustos.
• Monitorear y probar acceso a la red regularmente.
• Mantener políticas de seguridad de la información.

¿A quiénes se les aplica?

Para determinar si el establecimiento debe cumplir con PCI será:

• Siempre que transmitan, procesen o almacenen datos de tarjetas de crédito.
• Comercios minoristas, bancos, ecommerce y proveedores de estos servicios.

Perfiles de PCI 

• Quién exige el cumplimiento de PCI es la entidad financiera (VISA, MC, Amex, etc.)
• Quienes vigilan y apoyan en el cumplimiento estándar, diferentes figuras de manera que los establecimientos obtengan ayuda adecuada de los expertos en seguridad que les orienten y evalúen el cumplimiento, como sigue:
  • QSA (Qualified Security Assessors). Este tipo de entidad es un externo que está calificado por el PCI Council para realiza evaluaciones de cumplimiento del estándar. Para ello pasa a su vez por un proceso de certificación.
  • ASV (Approved Scanning Vendor) – Este tipo de entidad es un externo que está calificado para validar el apego al estándar PCI DSS realizando escaneos de vulnerabilidades de ambientes de cara a internet, de establecimientos y proveedores de servicios.
  • PA-QSA (Payment Application – Qualified Security Assessor) – El estándar PA – DSS aplica a los fabricantes de software y otros componentes que desarrollan aplicaciones que almacenen, procesen o transmitan datos del tarjetahabiente o de la tarjeta. El PA-QSA es el tipo de entidad externo que está calificado para certificar el cumplimiento del fabricante del PA-DSS.

Servicios alrededor de PCI

Como proveedor de seguridad de la información, existen varios caminos para apoyar a la industria en el cumplimiento del estándar PCI:

• Certificarse en alguna de las figuras mencionadas, con un foco especial.
• Proporcionar servicios relacionados con los controles que solicita el estándar.

En cualquiera de estos esquemas, el valor que un proveedor de si puede ofrecer es su experiencia y visión en la mitigación de riesgos y en la protección de datos sensibles.

Requisitos que deben cumplir para PCI

• Instalar y mantener una configuración de firewall para proteger los datos de las tarjetas.
• No usar contraseñas y otros parámetros de seguridad como vienen de fábrica (valores por omisión).
• Proteger los datos del titular de la tarjeta que fueron almacenados.
• Cifrar la transmisión de los datos de las tarjetas a través de redes públicas.
• Utilizar un software antivirus y actualizarlo regularmente.
• Desarrollar y mantener sistemas y aplicaciones seguras.
• Restringir el acceso a los datos de las tarjetas conforme a la necesidad de la empresa (need-to-know).
• Asignar nombres de usuario únicos a cada persona que tenga acceso al sistema.
• Limitar el acceso físico a los lugares donde se almacenen datos de las tarjetas.
• Rastrear y supervisar los accesos a los recursos de red y los datos de los titulares de las tarjetas.
• Probar los sistemas y procesos de seguridad regularmente.
• Mantener una política que aborde la seguridad de la información.

Para cada requisito, existe una amplia gama de servicios e infraestructura de apoyo al establecimiento, orientados a la seguridad de su operación sensible y, por ende, al cumplimiento del estándar.

Para que tu establecimiento cumpla con los requisitos de PCI, puedes consultar la página oficial de PCI y en particular el área de preguntas frecuentes (FAQ) a través de la página: https://www.pcisecuritystandards.org/

Fuente: https://www.magazcitum.com.mx/?p=590#.XeVTtuhKjIU