La nueva versión del estándar PCI DSS actualiza algunos aspectos para adaptarse a los requerimientos actuales en seguridad y protección de datos relativos a tarjetas bancarias.

Como ya veníamos anunciando desde hace unos meses, 2018 será un año de cambios y mejoras en relación a estándares y normativas de protección de información a nivel nacional e internacional, como el Reglamento General de Protección de Datos a partir del 25 de mayo de este año, o la obligada aplicación del estándar PCI DSS v3.2 a partir del pasado 1 de febrero.

El estándar PCI DSS (Payment Card Industry Data Security Standard o Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago, en español), se creó en 2006 a manos de un comité formado por las cinco principales compañías dedicadas a elaborar tarjetas bancarias (American Express, Discover Financial Services, JCB International, MasterCard y VISA), y se ha ido actualizando a través de distintas versiones, hasta llegar a la versión 3.2, que es de obligada aplicación a partir del pasado 1 de febrero de 2018.

El estándar de seguridad es aplicable a compañías que gestionan, procesan y/o almacenan datos relativos a tarjetas bancarias, y su objetivo principal es garantizar la seguridad de las operaciones y transacciones que se realicen mediante información de tarjetas bancarias, evitando así el fraude y los riesgos derivados de este tipo de actividad.

La última versión elaborada fue aprobada en octubre de 2016, pero no ha sido de obligada aplicación hasta el 1 de febrero de 2018, momento a partir del cual las novedades que incorporaba la versión 3.2 dejan de considerarse buenas prácticas y recomendaciones para pasar a ser requerimientos obligatorios.

Así pues, si nuestra compañía maneja datos de tarjetas bancarias, debemos cumplir con los requisitos que marca el estándar PCI DSS, que presentamos de manera general, y que son revisables conforme cada instalación, arquitectura y elementos de los que disponga la organización:  

1. Instalar, configurar, y mantener actualizado, un firewall, con el objetivo de proteger los datos de los titulares.  
2. Cambiar las claves de acceso y el resto de valores predeterminados que los proveedores proporcionen por defecto.
3. Aplicar políticas y herramientas de identificación y gestión de roles para identificar a los usuarios con acceso a los datos.
4. Mantener un registro de los accesos a los sistemas de información que contengan datos de los titulares.
5. Restringir el acceso a datos de titulares a los datos imprescindibles y necesarios para el desarrollo de la función de trabajo.
6. Implementar herramientas de monitorización y los consecuentes controles y alertas.
7. No almacenar datos de autenticación de las tarjetas. 
8. Garantizar que los proveedores de servicios de TPV o almacenamiento de datos cumplen con los estándares PCI DSS.
9. Aplicar un cifrado robusto para los datos de los titulares de las tarjetas, tanto en su almacenamiento como para cuando se realicen transmisiones a través de redes. 
10. Garantizar la seguridad de los datos de los titulares que hayamos almacenado, ya sea en sistemas propios o en proveedores de servicio externo.
11. Disponer de antivirus, y mantenerlo actualizado con las últimas versiones y parches de seguridad.
12. Cumplir los estándares de desarrollo para las aplicaciones y sistemas, y protegerlos con las medidas de seguridad adecuadas y necesarias.
13. Realizar pruebas de vulnerabilidades periódicamente.
14. Elaborar una política de seguridad y privacidad general para toda la compañía, que marque las directrices básicas a seguir.

Desde OptimumTIC ofrecemos soluciones e implementamos medidas aplicables a todo el reglamento a cumplir, ya sea en relación a herramientas FW de nextGeneration (PaloAlto, Fortinet), como aplicaciones de identificación de Accesos (IDM /IAM Manage Engine), sistemas de correlación de registros de Logs para conocer dichos accesos (SIEM de Fortinet), Sistemas de Antivirus y AntiMalware para los equipos y servidores (TRAPS), y sobre todo previo a una implementación pura tecnológica, revisamos y auditamos el proceso, para obtener la mejor optimización y homogeneidad con la infraestructura actual de la compañía, y revisamos y elaboramos las normas y políticas internas.

En este enlace a la página oficial del estándar PCI DSS podéis consultar de manera más específica los cambios y novedades que supone la nueva versión, así como otros documentos de interés:

https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2_Summary_of_Changes_3_es-LA_2.pdf?agreement=true&time=1517480697267

 

Para más información y/o una demostración sin compromiso de nuestros servicios y herramientas puede ponerse en contacto con OptimumTIC mediante un correo electrónico a info@optimumtic.com.