preloader
PCI DSS

PCI DSS (Payment Card Industry Data Security Standard)

Es fruto del esfuerzo del PCI Security Standards Council (PCI SSC) formado por las principales compañías emisoras de tarjetas de pago (Visa, Mastercard, American Express, JCB y Discover).

PCI DSS permite facilitar a comercios, proveedores de servicios y bancos a reducir el riesgo de fuga de información de los tarjeta habientes, mediante la protección de las infraestructuras (todos los elementos involucrados en el ecosistema) que procesan, transmiten o almacenan datos relativos a tarjetas de crédito.

Cualquier organización que participe en el procesamiento, transmisión o almacenamiento de información de tarjetas de pago debe cumplir con los requerimientos de la norma PCI DSS con el propósito de proteger los datos de tarjeta de sus clientes.

BENEFICIOS

Cumplir con una certificación PCI DSS te garantiza muchos beneficios:

  1. Fortalecimiento de la seguridad de otros procesos y medios de pago: Los requerimientos de la norma PCI DSS son transversales a la organización y permiten proteger por ejemplo transferencias PSE, pagos B2B.
  2. Protección de la reputación y la imagen del negocio: En caso de un compromiso con información de tarjetas se generan consecuencias a la reputación e imagen de la marca. PCI DSS ayuda a proteger la marca de posibles incidentes.
  3. Reducción de riesgos al implementar controles que mitigan el riesgo de una posible fuga de datos.
  4. Aumentar la confianza de los clientes: El cumplimiento de PCI DSS es una carta de presentación a la industria de pagos con tarjetas, que genera confianza con los clientes y al ecosistema en general.
  5. Crear una cultura de seguridad en la organización.
Servicios

¿Cómo lo hacemos?

1

Cumplimiento y definición de alcance:

No esperes a que se rompa... ¡hazlo mejor! Siempre es mejor adelantarse y detectar oportunidades para implementar mejores procesos, metodologías y tecnologías en la seguridad para tus clientes y tu negocio.

El primer paso para el CUMPLIMIENTO de los requerimientos PCI DSS es realizar un análisis identificando dentro de la organización los componentes del sistema como: aplicaciones, bases de datos, servidores, equipos de red, etc., involucrados en el procesamiento, almacenamiento y/o transmisión de datos de tarjeta.

2

Levantamiento de Flujos

Este servicio permite identificar el ambiente en el cual se encuentran presentes datos de Tarjeta-Habiente en tu organización para poder optimizar el alcance de su certificación PCI DSS.

Esto se logra mediante la identificación de los procesos o flujos donde se almacena, procesa o transmiten datos de tarjeta dependiendo del rol que realice la entidad en la industria de pagos con tarjetas.

3

Inventarios

Se identifican los componentes del sistema involucrados en el ambiente de datos de tarjeta.

4

Segmentos de Red

Se identifican los segmentos de red involucrados en el ambiente de datos de tarjeta y los que se conectan al CDE (cardholder data environment), con el fin de definir estrategias de reducción de alcance a nivel de la red y los controles que se deben tener para aislar el ambiente de datos de tarjeta habiente.

5

Identificación de Proveedores de servicio y matriz de responsabilidades

Se relacionan los proveedores de servicio con los cuales se comparte información de tarjetas o que impactan la seguridad del ambiente de datos y se identifican los controles que son responsabilidad del proveedor y de la organización.

El primer paso para el CUMPLIMIENTO de los requerimientos PCI DSS es realizar un análisis identificando dentro de la organización los componentes del sistema como: aplicaciones, bases de datos, servidores, equipos de red, etc., involucrados en el procesamiento, almacenamiento y/o transmisión de datos de tarjeta.

6

Tablas de Retención

Referencian los repositorios que contienen datos de tarjeta PAN (Primary Account Number) con su respectiva ubicación, método de protección, tiempo de retención y método de destrucción.

7

GAP

O brecha, como lo quieras llamar. Es el paso que debes dar como organización para conocer el estado de cumplimiento con las prácticas actuales vs. los requisitos propuestos por el estándar de Seguridad PCI DSS haciendo un análisis de brechas.

Proporciona una comparación detallada de lo que tu organización esta haciendo actualmente identificando áreas de no conformidad que requieran solución previa a una validación de cumplimiento formal del estándar

Para hacer un correcto análisis de brechas utilizamos la siguiente metodología:

  1. Inicio
  2. Definición de Alcance
  3. Planeación de entrevistas
  4. Entrevistas por requerimiento

5. Análisis de resultados
6. Consolidado
7. Informe GAP
8. Fin

8

Plan de Acción

Con base en los hallazgos del GAP validamos el plan de acción para el cierre de las brechas realizando acompañamiento y seguimiento al proceso.

Apoyamos el cierre de los hallazgos con un enfoque objetivo por cuanto nuestros servicios no comprometen la independencia de criterio como organización QSA.

9

Evaluación de cumplimiento

Algunas organizaciones sobresalen en evaluación de cumplimiento y otras no: ¿cuál quieres ser?

Las que sobresalen son las que orientan sus esfuerzos a definir controles para la protección de los datos del titular de la tarjeta y/o datos confidenciales de autenticación durante su procesamiento, almacenamiento y/o transmisión.

La evaluación se concentrará en validar si los procesos donde se almacenan, procesan o transmiten datos de tarjeta cumplen con los requerimientos de la norma PCI DSS.

Nuestra metodología

  1. Inicio
  2. Validación de Alcance
  3. Levantamiento de evidencias
  4. Planeación, evaluación en sitio

5. Realizar evaluación en sitio
6. Generar ROC y AOC
7. Fin

Esto es lo que HACEMOS en tu organización para cumplir la normatividad PCI:

Seguimiento del cumplimiento

Apoyamos a la organización en su proceso de seguimiento al cumplimiento de manera que los controles de la norma PCI DSS se realicen como parte de sus actividades de negocio (BAU), mediante validaciones trimestrales.

SAQ Verificación de cumplimiento

Apoyamos a los comercios y proveedores de servicios en la validación de cumplimiento con el SAQ (Cuestionario de Evaluación), mediante el acompañamiento en la definición del alcance, diagnostico, plan de acción y validación de los requerimientos aplicables de la norma PCI DSS.

Cumplimiento de Terceros

Apoyamos a las organizaciones en realizar la validación de sus proveedores de servicio o terceros, identificando los requerimientos de la norma que les aplican de acuerdo a los servicios que prestan y verificando su cumplimiento.

Gerencia de Proyectos

Nos alineamos con la Gerencia de Proyectos de tu Organización permitiendo que el alcance de PCI DSS nos permita cumplir con su propósito y aporte valor a tu organización

Tu misión:

Comenzar AHORA a realizar tu evaluación de cumplimiento PCI DSS empezando a proteger los datos de tus clientes