¿Qué es PCI-compliance?4 min read
“PCI Compliance” son las siglas de “Payment Card Industry Compliance”, lo que traducido podría ser “Cumplimiento de la industria de tarjetas de pago”, que no es ni más ni menos que una serie de normas que están desarrolladas para proteger los datos de los dueños de tarjetas de crédito durante, y después, de una transacción financiera. Si eres un ente que gestiona los datos de tarjetas de crédito de clientes de tiendas online, las marcas de tarjetas (VISA y Mastercard) te obligan a cumplir con PCI Compliance. Si no cumples con ello no te habilitan para procesar sus tarjetas de crédito.
Debido a las grandes exigencias de las normativas incluidas en PCI-compliance, las tiendas online suelen olvidarse de este tema y delegarlo directamente otra empresa que es la encargada de instalarles la pasarela de pago, la cual sí está obligada a cumplirlo si quiere que se procesen tarjetas Visa o Mastercard con su pasarela de pago.
Existen 6 categorías de estándares a cumplir:
1. Construir y mantener una red segura
Las normativas que contiene esta categoría se focalizan en la red a la cual se exponen los datos de la tarjeta, en los casos de negocios online el primer foco de vulnerabilidades es el servidor web. Es habitual que las compañias de hosting se encarguen directamente de asegurar los servidores web que dan servicio a sus clientes.
Cualquier máquina dentro de la empresa que pueda almacenar los datos del dueño de la tarjeta de crédito tiene que estar detrás de un cortafuegos y las mínimas medidas de seguridad que se necesiten para asegurar la red de esa máquina. Resumiendo:
- Instalar y mantener una configuración de firewall para proteger los datos.
- No usar passwords o parámetros de seguridad por defecto en los sistemas.
2. Proteger los datos del dueño de la tarjeta
Aquí se centralizan todas las tareas necesarias para proteger los datos del dueño de la tarjeta de crédito. Proteger significa que NO todo el mundo puede aceder a esa información. Las empresas que deban cumplir con PCI-Compliance deben almancear los datos cifrados, para que en caso de un robo de datos no puedan ser descifrados fácilmente.
Los negocios online deben tener especial cuidado a la hora de transmitir los datos de la persona que posee la tarjeta. Como mínimo para cumplir con esta categoría, se debe utilizar un certificado SSL de 128bits.
Resumiendo:
- Proteger los datos.
- Cifrar cualquier transmisión pública de los datos del dueño de la tarjeta.
3. Mantener un programa de gestión de vulnerabilidades
El número de vulnerabilidades siempre puede disminuir si se tiene en cuenta un plan de gestión de actualizaciones de hardware, software y sistemas operativos. Tener actualizados al día los antivirus y ejecutar los escaneos es una obligación en esta categoría. Resumiendo:
- Uso y actualizaciones religares de software antivirus.
- Desarrollo y mantenimiento de aplicaciones y sistemas seguros.
4. Implementar medidas fuertes de control de acceso
El eslabón más débil de la seguridad es el ser humano. Una de las partes más importantes del PCI-Compliance es controlar que sólo las personas que necesiten la información tengan acceso a ella, ya sea de manera física o virtual. Resumiendo:
- Restringir y limitar el acceso a la información de las tarjetas mediante los permisos mínimos necesarios.
- Asignar un único ID a cada persona con acceso a un PC.
- Restringir acceso físico a los datos de las tarjetas.
5. Monitorizar y probar las redes regularmente
Las redes que mantienen la información confidencial de los dueños de las tarjetas deben ser monitorizadas y probadas con regularidad. Estas medidas son obligatorias para cumplir con PCI. Tendrás que considerar seriamente contratar una auditoria externa en este sentido, la cual ayude a solucionar y detectar potenciales fallos de seguridad. Resumiendo:
- Registrar y monitorizar todos los accesos a los recursos de red y datos de las tarjetas.
- Probar regularmente los procesos y sistemas de seguridad.
6. Mantener una política de seguridad de la información
Teniendo en cuenta el problema que tienen los seres humanos con la seguridad en las empresas, es de obligación establecer una política de seguridad. Hay que estar seguros de que los empleados conocen y entienden todos los puntos de la política, así como las responsabilidades que tienen con los datos de los dueños de las tarjetas.
Fuentes
http://searchcompliance.techtarget.com/definition/PCI-compliance
http://www.qualys.com/docs/PCI-for-Dummies.pdf
http://www.practicalecommerce.com/articles/629-What-Is-PCI-Compliance-And-Should-Merchants-Be-Concerned-About-It-