El estándar PCI-DSS

Enviado por johnfcs20 • 23 de Octubre de 2018 • Tareas • 3.446 Palabras (14 Páginas) • 143 Visitas

Página 1 de 14

PCI

Las Normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS) se desarrollaron para fomentar y mejorar la seguridad de los datos y facilitar la adopción de medidas de seguridad uniformes a nivel mundial. Las PCI DSS se aplican a todas las entidades que participan en el procesamiento de tarjetas de pago, entre las que se incluyen comerciantes, procesadores, adquirientes, entidades emisoras y proveedores de servicios, como también todas las demás entidades que almacenan, procesan o transmiten CHD (datos del titular de la tarjeta) o SAD (datos de autenticación confidenciales).

En 2006, un grupo de entidades financieras, preocupado por el alto índice de fraudes con tarjetas, se reunió para crear un programa de seguridad de datos y fundaron un consejo denominado PCI Security Standards Council. Este grupo está conformado por American Express, Discover Financial Services, JCB International, MasterCard y VISA aunque posteriormente muchas otras organizaciones se han sumado a los esfuerzos para mejorar los estándares y vigilar su cumplimiento.

El estándar PCI-DSS que significa Payment Card Industry – Data Security Standard y consiste de una serie de normas de seguridad que exigen 12 requerimientos de seguridad agrupados en 6 categorías.

El PCI cuenta con 6 principios básicos, los cuales son:

Construir y mantener redes seguras.
Proteger la información del tarjetahabiente.
Contar con programas de pruebas de vulnerabilidades
Implementar controles de acceso robustos.
Monitorear y probar acceso a la red regularmente.
Mantener políticas de seguridad de la información.

Los datos de los participantes de los procesos en que se aplica la PCI se definen:

Datos de cuentas
Los datos de los titulares de las tarjetas incluyen:	Los datos confidenciales de autenticación incluyen:
Número de cuenta principal (PAN) Nombre del titular de la tarjeta Fecha de vencimiento Código de servicio	Contenido completo de la pista (datos de la banda magnética o datos equivalentes que están en un chip). CAV2/CVC2/CVV2/CID PIN/ Bloqueos de pin

Para facilidad en la vigilancia y apoyo en el cumplimiento del estándar, el PCI Council creó diferentes figuras de manera que los establecimientos obtengan la ayuda adecuada de los expertos en seguridad que les orienten y evalúen el cumplimiento, como sigue:

QSA (Qualified Security Assessor): este tipo de entidad es un externo que está calificado por el PCI Council para realizar evaluaciones de cumplimiento del estándar. Para ello pasa a su vez por un proceso de certificación.

ASV (Approved Scanning Vendor): este tipo de entidad es un externo que está calificado para validar el apego al estándar PCI DSS realizando escaneos de vulnerabilidades de ambientes de cara a Internet, de establecimientos y proveedores de servicios (como parte del Requisito 11, ver sección de requisitos).

PA-QSA (Payment Application-Qualified Security Assessor): el estándar PA-DSS aplica a los fabricantes de software y otros componentes que desarrollan aplicaciones que almacenen, procesen o transmitan datos del tarjetahabiente o de la tarjeta. El PA-QSA es el tipo de entidad externo que está calificado para certificar el cumplimiento del fabricante del PA-DSS.

Como proveedor de seguridad de la información, existen varios caminos para apoyar a la industria en el cumplimiento del estándar PCI:

Certificarse en alguna de las figuras mencionadas, con un foco especial.
Proporcionar servicios relacionados con los controles que solicita el estándar.

En cualquiera de estos esquemas, el valor que un proveedor de SI puede ofrecer es su experiencia y visión en la mitigación de riesgos y en la protección de datos sensibles.

Requisitos:

Requisito 1: instale y mantenga una configuración de firewalls para proteger los datos de los titulares de las tarjetas

Los firewalls son dispositivos que controlan el tráfico computarizado entre las redes (internas) y las redes no confiables (externas) de una entidad, así como el tráfico de entrada y salida a áreas más sensibles dentro de las redes internas confidenciales de una entidad. El entorno de datos de los titulares de tarjetas es un ejemplo de un área más confidencial dentro de la red confiable de una entidad. El firewall examina todo el tráfico de la red y bloquea las transmisiones que no cumplen con los criterios de seguridad especificados.

Todo el sistema debe estar protegidos contra el acceso no autorizado desde redes no confiables, ya sea que ingresen al sistema a través de Internet como comercio electrónico, del acceso a Internet desde las computadoras de mesa de los empleados, del acceso al correo electrónico de los empleados, de conexiones dedicadas como conexiones entre negocios mediante redes inalámbricas o a través de otras fuentes. Con frecuencia, algunas vías de conexión hacia y desde redes no confiables aparentemente insignificantes pueden proporcionar un acceso sin protección a sistemas clave. Los firewalls son un mecanismo de protección esencial para cualquier red de computadoras.

Otros componentes del sistema pueden funcionar como firewall, siempre que reúnan los requisitos mínimos correspondientes a firewalls, según se especifica en el Requisito 1. En las áreas que se utilizan otros componentes del sistema dentro del entorno de datos de los titulares de tarjetas para proporcionar la funcionalidad de firewall, es necesario incluir estos dispositivos dentro del alcance y de la evaluación del Requisito 1.

Especificaciones del requisito 1:

Establezca e implemente normas de configuración para firewalls y routers que incluyan lo siguiente:

Un proceso formal para aprobar y probar todos los cambios y las conexiones de red en la configuración de los firewalls y los routers.

Diagrama de red actual que identifica todas las conexiones entre el entorno de datos de titulares de tarjetas y otras redes, incluso cualquier red inalámbrica.

El diagrama actual que muestra todos los flujos de datos de titulares de tarjetas entre los sistemas y las redes.

Requisitos para tener un firewall en cada conexión a Internet y entre cualquier DMZ (zona desmilitarizada) y la zona de la red interna.

Descripción de grupos, funciones y responsabilidades para la administración de los componentes de la red.

Documentación y justificación de negocio para el uso de todos los servicios, protocolos y puertos permitidos, incluida la documentación de las funciones de seguridad implementadas en aquellos protocolos que se consideran inseguros. Entre los servicios, protocolos o puertos inseguros, se incluyen, a modo de ejemplo, FTP, Telnet, POP3, IMAP y SNMP versión 1 y versión 2.

Requisito de la revisión de las normas de firewalls y routers, al menos, cada seis meses.

Desarrolle configuraciones para firewalls y routers que restrinjan las conexiones entre redes no confiables y cualquier componente del sistema en el entorno de los datos de titulares de tarjetas.

Prohíba el acceso directo público entre Internet y todo componente del sistema en el entorno de datos de los titulares de tarjetas.

Instale software de firewall personal en todos los dispositivos móviles o de propiedad de los trabajadores que tengan conexión a Internet cuando están fuera de la red (por ejemplo, computadoras portátiles que usan los trabajadores), y que también se usan para acceder a la red. Las configuraciones de firewalls incluyen lo siguiente:

Los parámetros específicos de configuración se definen para cada software de firewall personal.
El software de firewall personal funciona activamente.
Los usuarios de dispositivos móviles o de propiedad de los trabajadores no pueden alterar el software de firewall personal.

Requisito 2: no utilizar contraseñas de sistemas y otros parámetros de seguridad provistos por proveedores.

...

Descargar como (para miembros actualizados) txt (23 Kb) pdf (143.1 Kb) docx (21.2 Kb)

Leer 13 páginas más »

Leer documento completo Guardar

Disponible sólo en Clubensayos.com

Información sobre ensayo

prev next

Denunciar este ensayo

Ensayos relacionados

Los Mercados Emergentes, La Gran Tentación De Este año Para La Industria Farmacéutica
La fiebre del oro en los mercados emergentes continúa. Y es que las farmacéuticas continuaron durante este 201 su carrera hacia esos nuevos y tentadores

2 Páginas • 1492 Visualizaciones
Resumen De "El Reino De Este Mundo" - Alejo Carpentier
“El reino de este mundo” Alejo Carpentier LAS CABEZAS DE CERA La novela comienza hablándonos sobre Ti Noel, un esclavo negro, y su amo Monsieur

19 Páginas • 5277 Visualizaciones
La Adopción:Parejas Homosesuales Limitadas En Este Derecho
La adopción: parejas homosexuales, limitadas en este derecho Por Liliana Vargas Puentes La adopción es más que un proceso meramente legal, en el cual se

6 Páginas • 1491 Visualizaciones
El producto interno bruto es la medición de los ingresos y egresos de un país en este caso Colombia
PRODUCTO INTERNO BRUTO BREIDY XILENA CUBILLOS BELTRAN JASLEIDY DUARTE HERNANDEZ TANIA MILENA BOLAÑOS GÓMEZ INSTITUCIÓN EDUCATIVA DPTAL “REPUBLICA DE FRANCIA” 1101 ECONOMIA SAN FRANCISCO CUNDINAMARCA

16 Páginas • 2362 Visualizaciones
En este mundo
EN ESTE MUNDO En este mundo que Cristo nos da hacemos la ofrenda del pan, el pan de nuestro trabajo sin fin y el vino

8 Páginas • 1075 Visualizaciones
El Reino De Este Mundo (completo)
1 COLECCIÓN IDEAS, LETRAS Y VIDA ALEJO C A R P E N T I E R EL REINO DE ESTE MUNDO (Relato) CIA. GENERAL

40 Páginas • 2260 Visualizaciones
El Reino De Este Mundo
El reino de este mundo” Alejo Carpentier LAS CABEZAS DE CERA La novela comienza hablándonos sobre Ti Noel, un esclavo negro, y su amo Monsieur

3 Páginas • 1359 Visualizaciones
Comente 5 factores antes de tomar una decisión de este tipo
1. A la empresa X un proveedor le ofrece un descuento adicional del 20% si compra una cantidad equivalente a las necesidades de 6 meses,

2 Páginas • 994 Visualizaciones
Este Trabajo No Tiene Nada
Según las leyes del movimiento establecidas por primera vez con detalle por Isaac Newton hacia 1680-89, dos o más movimientos se suman de acuerdo con

3 Páginas • 764 Visualizaciones
Recibe en la frente este beso
Un sueño ¡Recibe en la frente este beso! Y, por librarme de un peso antes de partir, confieso que acertaste si

2 Páginas • 707 Visualizaciones