PCI, a menudo llamada PCI DSS, Stands for Pay Tarjetas de la industria de datos de seguridad estándar. En resumen, PCI es un conjunto de estándares de la industria utilizados para medir la seguridad de las empresas que aceptan, procesan, almacenan y transmiten información de la tarjeta de crédito. Las empresas que son compatibles con PCI son menos probables sufren violaciones de datos que podrían exponer a los clientes a identificar el robo. Si tiene un ID de comerciante y acepta tarjetas de crédito en su negocio físico o virtual, entonces está sujeto a los estándares de la industria PCI DSS. El Consejo de Normas de Seguridad PCI es un grupo independiente de profesionales de la industria que investigan los problemas emergentes de seguridad PCI y crean los programas y estándares para mantener la integridad del sistema de tarjetas de pago.
Pasos
Parte 1 de 3:
Revisando los conceptos básicos de PCI DSS
1.
Confirme su nivel de comerciante. El primer paso es discutir y verificar su nivel de comerciante con el Banco o Clearinghouse que maneja sus transacciones con tarjeta de crédito. Los comerciantes se dividen en cuatro categorías basadas en la transacción con tarjeta VISA durante 12 meses. Su nivel de comerciante determinará cuán rigurosos deben ser sus programas de cumplimiento PCI.
- Un comerciante de nivel 1 procesa más de 6 millones de transacciones de visa por año o se designa el nivel 1 por la empresa VISA.
- Un comerciante de nivel 2 acepta entre 1 y 6 millones de transacciones de visa anualmente. Esto incluye en persona y en línea.
- Un comerciante de nivel 3 procesará entre 20,000 y 1 millón de transacciones de visa por año.
- Un comerciante de nivel 4, considerado un pequeño comerciante, toma en menos de 20,000 pagos de visas por año.
- Los requisitos de PCI DSS también se aplican a las empresas que aceptan otras tarjetas de crédito, como American Express, MasterCard y descubrir. La visa se utiliza como punto de referencia para establecer niveles de comerciantes.
2. Entender las sanciones por las violaciones de PCI DSS. Las empresas que no son compatibles con PCI DSS pueden estar sujetas a multas, sanciones y pérdida de privilegios de la cámara de compensación que procesa los pagos con tarjeta de crédito. Si la falla PCI da como resultado una pérdida real de datos, la empresa podría enfrentar multas, tarifas más altas y otras sanciones de los bancos y los procesadores de tarjetas de crédito.
Las empresas que no son compatibles con PCI pueden estar sujetas a juicios y enjuiciamiento gubernamental por no proteger los datos de los clientes.3. Familiarizarse con las mejores prácticas de seguridad. El primer estándar PCI DSS, implementado septiembre de 2009 (DSS V 1.2) Introdujo los 12 requisitos que un comerciante debe examinar para ser compatible con PCI. Dependiendo de su nivel de comerciante, la cantidad de tecnología, capacitación y experiencia para implementar las normas variará. Por ejemplo, una red que maneja 2 millones de transacciones será más sofisticada que una red que procesa 2000.
PCI 3.Entró en vigencia en junio de 2015 y se ocupó de nuevos estándares en tecnología y direcciones vulnerabilidades en programas comunes de cifrado.Las mejores prácticas de cumplimiento de PCI caen en cinco categorías generales: Red segura, protección de datos, gestión de vulnerabilidad, control de acceso, monitoreo y política de seguridad. El Consejo PCI tiene un cuestionario de autoevaluación para ayudar a las pequeñas empresas a determinar el cumplimiento de los estándares de seguridad.Parte 2 de 3:
Implementación de programas de cumplimiento PCI
1.
Construir y mantener una red segura. Para las empresas, esto significará desarrollar una relación con un contratista de confianza. A menos que usted sea un profesional de TI, no debe instalar su propia red si almacenará los datos del cliente. Incluso un sistema fuera de la caja puede tener vulnerabilidades si no está instalado y actualizado correctamente.
- Mantenga sus firewalls actualizados y operativos. No permita que los empleados deshabilitan los firewalls para ningún propósito.
- Cambie las contraseñas proporcionadas por el proveedor inmediatamente. Además, implemente un programa de contraseña para sus empleados. Las contraseñas deben cambiarse regularmente de conformidad con las instrucciones del proveedor. Por ejemplo, las contraseñas deben ser combinaciones alfanuméricas de caracteres que no son palabras de diccionario. Si su proveedor funciona en su sistema, debe cambiar todas las contraseñas cuando vuelva en línea.
2. Proteger la información del titular de la tarjeta. Si procesa manualmente las tarjetas de crédito, los resbalones y los recibos deben mantenerse en archivos bloqueados con acceso limitado. Si la información del titular de la tarjeta se almacena en su red, debe estar encriptada y protegida detrás de los firewalls de la empresa
3. Crear un programa de gestión de vulnerabilidad. Su sistema debe estar protegido con el software antivirus apropiado. También debe tener un programa de la compañía que prohíbe agregar software, como los juegos, que podrían comprometer el sistema.
4. Implementar el control de acceso. El acceso a la contraseña a su sistema debe estar restringido. Cada empleado solo debe tener el acceso que necesita para hacer su trabajo. Explique que esto protege a sus empleados y sus clientes. Si hay una violación de datos, el acceso restringido reducirá las posibilidades y ayudará a la investigación.
Para su red, proporcione a cada usuario y cada terminal un número de identificación único. En el caso de una violación confirmada o sospechada, sus profesionales de TI podrán identificar rápidamente el punto de entrada.Registros físicos seguros que contienen datos de clientes y titulares de tarjetas. Use un sistema de teclas de tarjeta o un bloqueo físico y una llave.Parte 3 de 3:
Pruebas y mantenimiento del cumplimiento PCI
1.
Monitorea y prueba tus redes. Su programa de seguridad debe incluir escaneos y pruebas regulares para rastrear y monitorear el flujo de datos del cliente a través de su red. Su profesional de TI o proveedor puede implementar pruebas tanto cuando el sistema está en uso bajo (por ejemplo, tarde en la noche los fines de semana) y en tiempo real cuando el sistema está en uso.
- Mantener un registro de los resultados de las pruebas. Discutir cuánto tiempo para mantener los registros de prueba con su compañía bancaria y seguros.
2. Desarrollar una política de seguridad de la información. Todos los pasos en su programa de cumplimiento de PCI deben documentarse en su Política de Seguridad. Este documento debe detallar todos los pasos que lleva su empresa para proteger los datos del cliente. Para los comerciantes de nivel 1 a 3, este programa puede ejecutarse para varios volúmenes e integrar el manual del empleado.
El nivel 1 a 3 comerciantes probablemente se contraerá con un profesional de seguridad o que tenga un personal dedicado capacitado en las complejidades de escritura y mantenimiento de la política de seguridad de la información.Un comerciante de nivel 4 debe comunicarse con la Cámara de Créditos para obtener asesoramiento y asistencia para crear la política de seguridad. Si el procesador no proporciona una plantilla de programa, debe considerar contratar con un profesional de seguridad para crear el documento. A menos que usted sea un profesional de TI, es poco probable que usted sea lo suficientemente versado en los detalles técnicos de su sistema para crear una política de seguridad que cumple con PCI. Una vez que se crea, solo deberá actualizarse cuando su red se amplíe o se actualice. Su contratista de TI puede proporcionarle los documentos que necesita para mantener su política de seguridad actualizada.La mayor parte de su programa de seguridad será de naturaleza técnica, como en elección de firewall y software de seguridad, así como los protocolos de prueba. Sin embargo, también debe incluir secciones sobre el proceso cuando un empleado deja la compañía y las contraseñas son revocadas.Desarrollar un proceso para realizar un seguimiento de las llaves y las llaves. Las teclas maestras deben estar tan estrictamente reguladas como contraseñas de alto nivel.3. Evaluar, remediar e informar su cumplimiento PCI. Una vez que se implementan las 12 partes de las mejores prácticas PCI, debe ejecutarse periódicamente a través del proceso de revisión de tres pasos del Consejo PCI para garantizar que se mantenga el cumplimiento.
Inventario de sus sistemas de TI y procesos de negocios. Si algo ha cambiado, actualice sus programas de seguridad y los planes de gestión de vulnerabilidad.Si encuentra una debilidad en su sistema, remedia el problema. Esto puede requerir nuevos equipos o software, capacitación de usuarios o actualizar su red. Los profesionales de TI deben implementar estos cambios.Mantenga registros de sus acciones y envíe informes de sus esfuerzos de cumplimiento a sus compañías bancarias y de tarjetas de crédito. Sus informes, esfuerzos e ideas pueden ayudar a otra compañía a proteger los datos del cliente.Advertencias
Los comerciantes de Nivel 4 deben discutir el cumplimiento de PCI con el Banco o la Cámara de Créditos de la Tarjeta de Crédito y siga las recomendaciones.
Si usted es un comerciante muy pequeño, como un negocio en casa, es poco probable que esté almacenando datos de tarjetas en su red personal. Sin embargo, aún debe revisar sus procesos con su banco. El Consejo PCI tiene capacitación y recursos en línea para ayudarlo a prevenir el robo de datos del cliente.