¿Qué significa la norma de seguridad de datos del sector de las tarjetas de pago?
La norma de seguridad de datos de la industria de tarjetas de pago es una norma patentada para todas las organizaciones que procesan, transmiten o almacenan datos de titulares de tarjetas de pago.
La norma proporciona un marco con tecnologías y prácticas que deben cumplirse para proteger y asegurar los datos de los titulares de tarjetas. Las marcas de tarjetas cumplen las normas incorporadas por el estándar de seguridad de datos de la industria de tarjetas de pago y es uno de los principales requisitos técnicos para sus programas de cumplimiento de seguridad de datos.
Definición de la norma de seguridad de datos del sector de tarjetas de pago
El estándar de seguridad de datos de la industria de tarjetas de pago está gestionado por el consejo de estándares de la industria de tarjetas de pago. La validación del cumplimiento por parte de las organizaciones se realiza mediante un escaneado periódico de la red, así como mediante una auditoría de seguridad anual.
Al cumplir las normas de seguridad de datos del sector de tarjetas de pago, las organizaciones obtienen más confianza y negocio de los clientes. La norma también ayuda indirectamente a las organizaciones a cumplir normas industriales similares, mejorando la eficacia de la infraestructura y proporcionando una base para diferentes estrategias de seguridad. El conjunto completo de normas puede descargarse del sitio web del consejo de normas de seguridad del sector de las tarjetas de pago.
Las normas pueden agruparse en seis categorías con 12 requisitos que son los siguientes:
- Creación y mantenimiento de una red segura.
- Requisito 1: Para proteger los datos, instalar y mantener una configuración de cortafuegos.
- Requisito 2: Evitar los valores predeterminados suministrados por el proveedor para los parámetros de seguridad y las contraseñas del sistema.
- Protección de los datos del titular de la tarjeta Requisito
- Requisito 3: Proteger los datos almacenados.
- Requisito 4: A través de las redes públicas, toda la información sensible y los datos de los titulares de tarjetas deben cifrarse antes de su transmisión.
- Disponibilidad de un programa de gestión de vulnerabilidades
- Requisito 5: Es necesario utilizar software antivirus y actualizarlo periódicamente.
- Requisito 6: Deben desarrollarse y mantenerse sistemas y aplicaciones seguros.
- Deben aplicarse medidas estrictas de control de acceso.
- Requisito 7: Restricción de datos con controles de acceso adecuados.
- Requisito 8: Proporcionar una identificación única para cada usuario con acceso informático.
- Requisito 9: Restricción física de los datos de los titulares de tarjetas.
- Prueba y supervisión periódicas de las redes
- Requisito 10: Es necesario supervisar y rastrear todos los accesos a los datos de los titulares de tarjetas y a los recursos de la red.
- Requisito 11: Prueba periódica de los procesos y entornos de seguridad.
- Uso y mantenimiento de una Política de Seguridad de la Información
- Requisito 12: Mantenimiento de normas de política que ayuden a abordar todos los procesos y problemas relacionados con la seguridad de la información.