live casino online

arrow_back
search
close

?Qu¨¦ es la normativa PCI DSS?

Significado de la normativa PCI DSS

PCI DSS es un conjunto de est¨¢ndares de seguridad establecidos en 2004 por las principales empresas de tarjetas de cr¨¦dito porque, como era de esperar, las aplicaciones que procesan pagos son objetivos muy atractivos para hackers y agentes maliciosos.?

La misi¨®n de PCI DSS es asegurar las transacciones con tarjetas de cr¨¦dito y d¨¦bito no solo para frenar las p¨¦rdidas de los bancos y del sector de las tarjetas de pago, sino tambi¨¦n para aumentar la confianza y la seguridad de los consumidores. Esto se logra mediante un conjunto de controles de seguridad que protegen la confidencialidad, integridad y precisi¨®n de los datos de la tarjeta. Este est¨¢ndar de cumplimiento se aplica a todas las organizaciones que almacenan, procesan y transmiten datos de tarjetas de cr¨¦dito. A diferencia del , que es un marco que se le anima encarecidamente, pero que no est¨¢ obligado a seguir, es absolutamente necesario que cumpla con PCI DSS.

Requisitos de PCI DSS

PCI DSS consta de 12 requisitos agrupados en seis objetivos de control, garantizando que las organizaciones que procesan, almacenan o transmiten datos de tarjetas de cr¨¦dito mantengan un entorno seguro. El cumplimiento ayuda a proteger la informaci¨®n del titular de la tarjeta y a fortalecer las medidas de seguridad generales.

Objetivo n.o 1: Creaci¨®n de una red segura ?

  • Regla n.o 1: Instalar y mantener un firewall?
  • Regla n.o 2: No utilice contrase?as o configuraciones predeterminadas del proveedor

Objetivo n.o 2: Proteja los datos del titular de la tarjeta ?

  • Regla n.o 3: Proteja los datos almacenados del titular de la tarjeta?
  • Regla n.o 4: Cifrar los datos transmitidos del titular de la tarjeta

Objetivo n.o 3: Mantener un programa de gesti¨®n de vulnerabilidades ?

  • Regla n.o 5: Prot¨¦jase del malware?

  • Regla n.o 6: Desarrollar y mantener sistemas seguros?

Objetivo n.o 4: Gestionar el control de acceso ?

  • Regla n.o 7: Restringir el acceso a los datos del titular de la tarjeta?
  • Regla n.o 8: Identifique de forma ¨²nica a todos los que tienen acceso a los datos del titular de la tarjeta?
  • Regla n.o 9: Restringir el acceso f¨ªsico a los datos del titular de la tarjeta

Objetivo n.o 5: Supervisar y probar redes ?

  • Regla n.o 10: Realice un seguimiento y supervise todo el acceso a los datos del titular de la tarjeta?
  • Regla n.o 11: Pruebe la seguridad del sistema

Objetivo n.o 6: Mantener una pol¨ªtica de seguridad de la informaci¨®n ?

  • Regla n.o 12: Crear y aplicar una pol¨ªtica de seguridad de la informaci¨®n dentro de la organizaci¨®n
PCI DSS Requirements

Tambi¨¦n hay cuatro niveles de cumplimiento, dependiendo del n¨²mero anual de transacciones con tarjeta de cr¨¦dito/d¨¦bito procesadas. La clasificaci¨®n determina lo que la organizaci¨®n debe hacer para seguir cumpliendo con las normas:?

  • Nivel 1: M¨¢s de 6 millones de transacciones al a?o - Requisito: Auditor¨ªa interna anual realizada por un auditor de PCI autorizado. Adem¨¢s, deben completar el an¨¢lisis de PCI por parte de un proveedor de an¨¢lisis aprobado (ASV) una vez al trimestre.?
  • Nivel 2: 1-6 millones de transacciones al a?o: - Requisito: Complete una evaluaci¨®n anual utilizando un Cuestionario de autoevaluaci¨®n (SAQ). Es posible que se requiera un an¨¢lisis de PCI trimestral.?
  • Nivel 3: 20 000-1 mill¨®n de transacciones al a?o - Requisito: Autoevaluaci¨®n anual y posiblemente una exploraci¨®n de PCI trimestral.?
  • Nivel 4: Menos de 20 000 transacciones al a?o - Requisito: Autoevaluaci¨®n anual y posiblemente una exploraci¨®n de PCI trimestral.

Por qu¨¦ es importante el cumplimiento de PCI DSS

Todos en la organizaci¨®n desempe?an un papel en el mantenimiento del cumplimiento de normativa. Comienza en la parte superior con los CISO y, a continuaci¨®n, llega a los equipos de SecOps y DevOps. En un mundo ideal de DevSecOps, no existe una jerarqu¨ªa en la responsabilidad de seguridad entre ambos equipos: trabajan en conjunto entre s¨ª. SecOps debe ayudar a los equipos de DevOps a comprender lo que tienen que hacer y los desarrolladores deben ejecutar esto a nivel de aplicaci¨®n.?

Siguiendo los 12 requisitos de PCI DSS, estos son algunos ejemplos de c¨®mo el cumplimiento continuo es un esfuerzo de equipo:?

  • Regla n.o 6: Los desarrolladores deben crear sistemas con la seguridad en mente?
  • Regla n.o 8: La gesti¨®n de identidad y acceso debe asignar a cada usuario un ¨²nico requisito de ID de usuario ocho?
  • Regla n.o 9: El departamento de seguridad f¨ªsica debe asegurarse de que el acceso al edificio y a las salas de servidores est¨¦ controlado?
  • Regla n.o 10: Las operaciones de seguridad deben garantizar que se crean registros para registrar y realizar un seguimiento del acceso a los datos del titular de la tarjeta?
  • Regla n.o 11: Los equipos de operaciones y desarrollo deben trabajar juntos para probar servidores y software?
  • Regla n.o 12: La direcci¨®n debe desarrollar pol¨ªticas y documentos asociados para detallar el nivel de seguridad de la informaci¨®n y cumplimiento que se debe lograr en su negocio?

Todo esto, por decirlo todo, todos desempe?an un papel en el cumplimiento. No solo para el bien general de la organizaci¨®n, sino para que pueda crear e implementar de forma eficiente y con la confianza de que no va a recibir 10 000 alertas de SOS Slack despu¨¦s del lanzamiento de su aplicaci¨®n.?

Como dijimos, su responsabilidad recae principalmente en el nivel de aplicaci¨®n. Esto incluye el uso de c¨®digo fuente seguro, la garant¨ªa de configuraciones adecuadas para su canalizaci¨®n de CI/CD y mucho m¨¢s. Es posible que est¨¦ pensando: Vale, pero ?c¨®mo se supone que debo saber c¨®mo hacerlo? La buena noticia es que no es necesario ser un experto en seguridad o cumplimiento de normativa, al igual que no es necesario ser un neurocirujano para poner un Band-Aid en marcha. Se trata de conocer y aplicar los recursos adecuados (como una ayuda de banda en lugar de pegar una servilleta sobre la herida).?

Para evitar configuraciones err¨®neas, puede consultar el sitio de documentaci¨®n de su proveedor de servicios en la nube (CSP). Sin embargo, leer toda esta informaci¨®n puede llevar demasiado tiempo. Si ese es el caso para usted, le sugerimos (en lugar de ello, recomendamos encarecidamente) que utilice una soluci¨®n de seguridad con automatizaci¨®n.

Violaciones de datos relacionadas con PCI DSS

La primera ´Ú¾±±ô³Ù°ù²¹³¦¾±¨®²Ô?que se le ocurre es el ?que expuso 106 millones de solicitudes de tarjetas de cr¨¦dito y condujo a una ?de los reguladores estadounidenses. Echemos un vistazo a otras filtraciones y c¨®mo podr¨ªan haberse evitado consultando las reglas y objetivos de PCI DSS.

³Õ±ð²õ³Ù¨ª²ú³Ü±ô´Ç

A principios de 2021, se hacke¨® . Un investigador independiente que utiliza el asa Boogeyman identific¨® la ´Ú¾±±ô³Ù°ù²¹³¦¾±¨®²Ô. Descubri¨® una base de datos de acceso p¨²blico en Amazon Web Services (AWS) que conten¨ªa informaci¨®n confidencial de m¨¢s de 300 000 clientes de Hobby Lobby. La base de datos ten¨ªa un tama?o de 138GB y ten¨ªa nombres de clientes, direcciones, n¨²meros de tel¨¦fono y detalles parciales de la tarjeta. Lo extra?o en la misma base de datos era el c¨®digo fuente de la aplicaci¨®n de la empresa, que es otro problema.?

La ´Ú¾±±ô³Ù°ù²¹³¦¾±¨®²Ô fue el resultado de una base de datos en la nube mal configurada que era accesible p¨²blicamente. Se trata de una clara infracci¨®n de las normas PCI DSS n.o 3, n.o 7 y n.o 9, porque los datos de la tarjeta de pago se estaban almacenando en un servidor abierto. Hobby Lobby tampoco cumpli¨® con la regla n.o 10, que establece que el acceso a los datos del titular de la tarjeta y los recursos de red relevantes se deben rastrear y supervisar. Claramente esto no estaba sucediendo, de lo contrario, la configuraci¨®n err¨®nea se habr¨ªa solucionado y todo el problema se habr¨ªa evitado en ¨²ltima instancia.

²Ñ²¹³¦²â¡¯²õ

El ?en octubre de 2019, que expuso los n¨²meros de las tarjetas de pago, los c¨®digos de seguridad y las fechas de caducidad de los clientes que utilizaron el sistema de pago online con la p¨¢gina de cartera Mi cuenta. Aunque ²Ñ²¹³¦²â¡¯²õ no revel¨® el n¨²mero de clientes afectados, el minorista registr¨® 55,7 millones de visitas mensuales en l¨ªnea hasta abril de ese a?o. Y para ser francos, robar la informaci¨®n de un solo cliente es suficiente como una preocupaci¨®n.?

La ´Ú¾±±ô³Ù°ù²¹³¦¾±¨®²Ô se produjo debido a un ataque dirigido de Magecart?que inyect¨® malware en las p¨¢ginas de pago y cartera. Es evidente que ²Ñ²¹³¦²â¡¯²õ infringi¨® una gran cantidad de reglas de PCI DSS y lo m¨¢s preocupante es el hecho de que Magecart es bien conocido. De hecho, ²Ñ²¹³¦²â¡¯²õ fue solo una de las muchas v¨ªctimas ese a?o, incluidas FILA, Ticketmaster, British Airways y otras. Los ataques anteriores a otros minoristas importantes deber¨ªan haber motivado a ²Ñ²¹³¦²â¡¯²õ a realizar auditor¨ªas de seguridad y a remediar cualquier vulnerabilidad seg¨²n lo requerido por PCI DSS.

PCI DSS Compliance

Related Articles

?3 Major Benefits of Cloud Migration: Cloud Compliance

Recursos

Soporte

Acerca de Trend

Sede en el pa¨ªs

  • live casino online - Spain (ES)
  • Paseo de la Castellana 259D
    Torre Emperador
    Planta 29
    28046, Madrid
    Espa?a
  • Phone:: +34 (0)91 369 70 30

Seleccione una regi¨®n o pa¨ªs

close

´¡³¾¨¦°ù¾±³¦²¹

Oriente Medio y ?frica

Europa

´¡²õ¾±²¹-±Ê²¹³¦¨ª´Ú¾±³¦´Ç

Experimente nuestra plataforma unificada gratuitamente

Copyright ?2025 live casino online. All rights reserved.