Salvaguardé los datos de tarjetas de pago correctamente.

Las Normas de Seguridad de Datos (DSS) de la Industria de Tarjetas de Pago (PCI) hacen un estándar de cumplimiento a nivel mundial realizada en colaboración con las marcas diferentes de tarjetas de pago: American Express, Discover, JCB, MasterCard y Visa.

Las requerimientos PCI DSS son desarrollas para reducir la probabilidad de compromisos de tarjetas de pago y robo de datos por ayudar a asegurar su información confidencial y reducir su vulnerabilidad a los ataques.

Quien lo necesita

Si su entidad almacene, procese o transmite datos de titulares de tarjetas (por ejemplo, si acepta pagos por tarjeta), es obligado a estar cumplimiento con PCI DSS (comúnmente conocido simplemente como "conforme con PCI") por las marcas de pago y su banco mercantil. Es importante entender que la falta de cumplir con el PCI DSS puede dar lugar a infracciones y multas. También puede perder la capacidad de aceptar tarjetas de pago.

Hay dos componentes principales para validar su organización con PCI DSS:

1. Cuestionario de seguridad

Todas las organizaciones tienen que responder a una serie de requerimientos en la forma de cuestionario. Dependiendo del papel de su organización y el volumen de transacciones, tendrá que completar uno de las siguientes:

Evaluación de cumplimiento con PCI DSS

Si su organización es un proveedor de servicio, o si hace ventas al volumen extremadamente alto o si se haya indicado expresamente por su banco o procesador, debe someterse a una evaluación plena de su cumplimiento. Esta evaluación debe ser realizada por un Asesor de Seguridad Calificado (QSA), tales como Sikich, lo que se traduce en un Informe de Cumplimiento (ROC). El proceso es similar de someterse a una auditoría tradicional de TI.

Cuestionario de Autoevaluación (SAQ)

Si su organización no tiene que someterse a una evaluación plena de su cumplimiento, en su lugar tendrá que completar la versión adecuada del SAQ PCI DSS. Cuál SAQ aplique a su organización depende de cómo acepta pagos con tarjeta de crédito. El proceso de autoevaluación determina si está tomando las precauciones adecuadas para proteger datos de titulares de tarjetas.

Si su organización es capaz de autoevaluarse, hay unas pocas opciones para completar el Cuestionario de Autoevaluación (SAQ). El sitio web del PCI SSC incluye información sobre el cumplimiento y el SAQ, y ofrece la posibilidad de descargar varios cuestionarios de forma gratuita.

Muchas organizaciones encuentran que necesitan al menos algún nivel de orientación al pasar por el proceso de SAQ. Para las organizaciones más grandes, Sikich trabaja con su equipo de forma personalizada para interpretar y responder a su SAQ. Para las organizaciones más pequeñas, Sikich ofrece un portal web seguro para ayudar a determinar cuál SAQ es adecuado para usted, llenar una versión mejorada de la SAQ y obtener asistencia con comprender sus necesidades a lo largo del camino.

2. Escaneos trimestrales de vulnerabilidades

Si sus sistemas están conectados a la Internet, se le requiere tener escaneos de vulnerabilidades realizados sobre una base trimestral. Los escaneos buscan para los puntos débiles que un atacante podría utilizar para acceder a sus sistemas. Un Proveedor Aprobado de Escaneo (ASV), tal como Sikich, debe realizar estas escaneos.

A través de nuestra portal web seguro, su organización es capaz de crear, gestionar y revisar sus escaneos de vulnerabilidades. En caso de que falle un escaneo, es decir, se encuentra un problema de seguridad, su informe contenía recomendaciones detalladas para abordar los problemas identificados. Una vez que su organización está capaz de hacer los cambios apropiados en abordar las vulnerabilidades descubiertas, puede empezar una repetición para ver si los cambios fueron efectivos.

En este momento utilizamos su SAQ para cumplimiento PCI y los servicios de escaneos ofrecidos a través de Heartland Payment Systems y los amamos. Creemos que son perfectos para evaluar y corregir nuestros sistemas y esenciales en mantener el cumplimiento con las directrices de PCI.

– Jason Rovner, gerente de tecnología de la información, Artcraft Promotional Concepts

Entender el proceso de evaluación

Entre si su organización tiene la obligación de trabajar con un QSA o si elige tener un experto a su lado para evaluar y validar su cumplimiento, Sikich le ayuda con el proceso siguiente de tres fases para la evaluación del cumplimiento con PCI DSS:

  • El proceso se inicia con la consultoría preparativa que identifica y analiza el alcance del cumplimiento y las lagunas de su organización.
  • A partir de ahí, la evaluación se pone en marcha, mientras que trabajamos con la organización para remediar, o conciliar, los problemas que existen. Una vez que divergencias se resuelven adecuadamente, llevaremos a cabo una auditoría de validación y emitamos un Informe de Cumplimiento (ROC).
  • Durante la fase posterior de la evaluación, revisamos las conclusiones con su equipo ejecutivo y formulamos recomendaciones adicionales de seguridad. También realizamos revisiones periódicas durante todo el año para ayudar a su organización seguir la marcha del cumplimiento, que conduce a eficiencia sustancial en su próxima evaluación anual.

1. Preevaluación - Preparar para cumplimiento

Muchas organizaciones encuentran las etapas iniciales de logro y validar el cumplimiento son las más desafiantes. Para mover su organización en la dirección correcta, Sikich conducta consultoría preevaluación para analizar el alcance de sus esfuerzos de cumplimiento, así como identificar las lagunas posibles.

A través de una serie de conferencias telefónicas y visitas en sitio, Sikich trabaja con su equipo para crear un informe detallado que resume las conclusiones y recomendaciones para minimizar su alcance y direccionar lagunas conocidas en su cumplimiento. La consultoría preevaluación de Sikich pone su organización en una posición mejor para lograr cumplimiento, ahorrándole costos y esfuerzos.

2. La evaluación - Lograr y validar cumplimiento

Durante su evaluación, Sikich trabajará con su equipo, tanto en lugar y de forma remota, para realizar una auditoría de TI especializado para probar la seguridad de sus sistemas, entrevistar a miembros claves del personal, y examinar sus políticas y procedimientos.

Abordar las lagunas y vulnerabilidades descubiertas durante una evaluación puede ser una tarea frustraste y costosa que exige mucho tiempo. Trabajar con nuestro equipo de expertos le da el conocimiento técnico y la capacidad necesaria para remediar los problemas de manera eficiente y eficaz.

Además de realizar una auditoría completa de validación PCI DSS o ayudarle con su SAQ, Sikich ayuda a su organización a cumplir los requisitos de PCI DSS siguientes.

Instalar y mantener un cortafuegos, según Requisito 1:
1.1 Establecer normas de configuración para cortafuegos y enrutadores.
1.2 Desarrollar configuraciones para cortafuegos y enrutadores que restrinjan las conexiones entre redes no confiables y todo componente del sistema en el entorno de los datos de los titulares de tarjeta.
1.3 Prohibir el acceso directo público entre la Internet y todo componente del sistema en el entorno de datos de los titulares de tarjetas.
Cifrar todo el acceso administrativo que no sea de consola utilizando cifrado según Requisito 2.3:
2.3 Cifrar todo el acceso administrativo que no sea de consola utilizando un cifrado sólido. Utilice tecnologías como SSH, RPV (VPN) o SSL/TLS para la administración basada en la web y el acceso administrativo que no sea de consola.
Identificar datos de los titulares de tarjetas con texto claro, según el Requisito 3.4:
3.4 Hacer que el PAN quede ilegible en cualquier lugar donde se almacene (incluidos los datos que se almacenen en medios digitales portátiles, en medios de copia de seguridad y en registros).
Realizar una revisión del código, según Requisitos 6.3.2 y 6.6:
6.3.2 Realizar una revisión del código personalizado antes del envío a producción o a los clientes a fin de identificar posibles vulnerabilidades de la codificación.
6.6 En el caso de aplicaciones web públicas, tratar las nuevas amenazas y vulnerabilidades continuamente y asegúrese de que estas aplicaciones se protejan contra ataques conocidos.
Realizar trimestralmente escaneos de vulnerabilidades externos, según Requisito 11.2.2:
11.2.2 Los análisis trimestrales de vulnerabilidades externas debe realizarlos un Proveedor Aprobado de Escaneo (ASV) certificado por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC).
Realizar pruebas de penetración externas e internas, según Requisitos 11.3 hasta 11.3.2:
11.3 Realizar pruebas de penetración externas e internas al menos una vez al año y después de cualquier actualización o modificación significativa de infraestructuras o aplicaciones (como por ejemplo la actualización del sistema operativo, la adición de una subred al entorno, o la adición de un servidor web al entorno). Estas pruebas de penetración deben incluir lo siguiente:
11.3.1 Pruebas de penetración de la capa de red
11.3.2 Pruebas de penetración de la capa de aplicación
Instalar y mantener los sistemas de detección y/o prevención de intrusiones (IDS/IPS), según Requisito 11.4:
11.4 Utilizar los sistemas de detección y/o prevención de intrusiones (IDS/IPS) para supervisar el tráfico en el perímetro del entorno de datos de titulares de tarjetas, así como los puntos críticos dentro del entorno de datos de titulares de tarjetas y alerte al personal ante la sospecha de riesgos.
Mantener una política de seguridad de la información, según Requisito 12:
12.1 Establecer, publicar, mantener y distribuir una política de seguridad que logre lo siguiente:
12.1.1 Abordar todos los requisitos de las PCI DSS.
12.1.3 Incluir una revisión al menos una vez al año y actualizaciones al modificarse el entorno.
Realizar un evaluación de riesgo, según Requisito 12.1.2:
12.1.2 Incluir un proceso anual para identificar amenazas y vulnerabilidades, y los resultados de una evaluación de riesgo formal.
Implementar un programa formal de capacitación, según Requisito 12.6.1:
12.6.1 Educar al personal justo al ser contratado y, por lo menos, una vez al año.

Una vez que su organización ha demostrado plenamente el cumplimiento, lo haremos presentar su Declaración de Cumplimiento (AOC) y el Informe de Cumplimiento (ROC) a las marcas de tarjetas de pago o a su adquirente, como apropiado.

3. Postevaluación - Mantener el cumplimiento

Lograr el cumplimiento en un solo punto en el tiempo durante el año puede resultar difícil. Mantener ese nivel de cumplimiento durante todo el año, como es requerido por la norma PCI DSS, puede ser incluso más difícil.

Para ayudar a su organización monitorizar su cumplimiento en todo el año, Sikich ofrece seguimiento trimestral después que su evaluación se completa. Una vez cada trimestre, Sikich trabaja con su equipo para abordar los esfuerzos de mantener el cumplimiento, los cambios en su entorno y los planes futuros que puedan afectar a su ámbito de aplicación. Estos exámenes son recordatorios útiles que mantienen su organización centrada en el cumplimiento y la seguridad en todo el año, y no sólo un punto en el tiempo.

Que hacemos

Sikich ayuda a su organización en todos los aspectos de cumplimiento PCI DSS. Le ayudamos:

  • Maximizar el retorno de su inversión en la seguridad
  • Comprender las PCI DSS y cómo se aplican a su organización
  • Trabajar hacia lograr, validar y mantener su cumplimiento

Estamos orgullosos de poder ayudar a simplificar el proceso de validar su cumplimiento con PCI DSS. Nuestro proceso es escalable para un entorno de cualquier envergadura y nivel de conocimientos. Si usted es el astuto administrador de una gran cadena nacional, o el propietario de un pequeño empresario que nunca ha sido objeto de una auditoría de seguridad antes, vamos a hacer el proceso sin dolor como sea posible y estar allí para usted cuando nos necesite.

Sikich puede guiarle a través del proceso de validación de cumplimiento así que puede revolver a su competencia principal—realizar su negocio. Sólo ahora, los datos de su organización estarán mejor protegidos.

Empiece hoy a trabajar hacia la validación de su cumplimiento.

Todo lo que necesita es su nombre y su número de teléfono o correo electrónico para obtener más información acerca de nuestros servicios y experiencia. Si desea, también podrá enviar detalles adicionales después de enviar su información aquí.