PCI DSS Merchant Compliance and TPSPs

PCI DSS Merchant Compliance and TPSPs

Para los proveedores de servicio externos y comerciantes, el programa de seguridad de tarjetas múltiples de STEALTH-ISS es un método simple y económico de validar el cumplimiento de los requerimientos de seguridad de las principales asociaciones de tarjetas de crédito, incluyendo las siguientes:

• Programa de información sobre cuentas de Visa en Canadá (AIS)

• Programa de seguridad de información sobre los titulares de tarjetas de Visa en los Estados Unidos (CISP)

• Política operativa sobre la seguridad de datos de American Express (DSOP)

• Programa de cumplimiento y seguridad de información de Discover (DISC)

• Programa de protección de datos del sitio de MasterCard (SDP)

A finales del año 2004, la normas de seguridad de datos de la asociación de tarjetas se alinearon con los estándares de seguridad de datos de la industria de pagos con tarjetas (PCI). Ahora, estos estándares se requieren a todos los comerciantes, incluyendo a los siguientes:

• Comercios minoristas (empresas tradicionales)

• Ventas por teléfono o correo

• Comercio electrónico

 

Requisito básico del Estándar de Seguridad de Datos de la Industria de Pagos electrónicos con tarjeta

Cada comprador que se conecta a internet debe ser verificado. Esta verificación ha de llevarse a cabo en todos los puntos de conexión a internet, ya sean conexiones domésticas/de oficina (modem de conexión telefónica, ADSL, por cable o inalámbrico) o servidores de internet permanentes tales como sitios web, correo, FTP, etc.
 

Administración de Riesgos del Estándar de Seguridad de Datos de la Industria de Pagos Electrónicos por tarjeta

 

La industria de pagos electrónicos con tarjeta exige el control de las seis áreas de seguridad principales, cumpliendo 12 requisitos aplicables a todos los componentes del sistema.

 

 

Construir y mantener una red segura.

 

1 Instalar y mantener una configuración de cortafuegos para protección de datos

 

2 No utilizar sistemas alternativos de identificación de contraseñas u otros parámetros de seguridad suministrados por el vendedor.

 

• Nosotros no sólo podemos proporcionarle la tecnología, sino también la configuración de todos los componentes del sistema de acuerdo con las normas de la industria, de manera que reúna las condiciones para una red segura.

 

 

Proteger los datos del titular de la tarjeta

 

3 Proteger los datos almacenados

 

4 Transmisión encriptada de los datos del titular de la tarjeta y de información sensible a través de las redes públicas

 

• Existen varias herramientas de encriptado que usted puede usar, aunque no todas cumplirán con los elevados requerimientos. Nosotros tenemos buenas recomendaciones y la más novedosa tecnología, aprobada y empleada por sectores comerciales y gubernamentales, para el almacenamiento de datos sensibles conjuntamente con orientaciones sólidas sobre los procedimientos de encriptado, incluyendo la gestión de claves. Nosotros hacemos que los datos del titular de la tarjeta sean seguros tanto para la redes alámbricas como inalámbricas.

 

 

Mantener un programa de gestión de la vulnerabilidad

 

5 Usar y regularmente actualizar el programa antivirus

 

6 Desarrollar y mantener sistemas seguros y aplicaciones

 

• En dependencia de su estructura nosotros implementaremos una solución que le permitirá no solo cumplir con los criterios de protección de los datos, sino también proteger su infraestructura, sus propios datos corporativos, así como mantenerlo seguro de hackers e intrusos mientras se libera la carga de trabajo de su administrador. De esa forma hacemos sus procesos de negocios más efectivos y ahorrando dinero.

 

 

Implemente un sólido control de acceso

 

7 Restrinja el acceso a los datos según la necesidad de saber

 

8 Asigne una ID única a cada persona con acceso

 

9 Restrinja el acceso físico a los datos de los propietarios de tarjetas

 

• Implementaremos un sólido control de acceso para una adecuada  administración de ID, así como los aspectos de seguridad física como el almacenamiento y la  destrucción los datos de los propietarios de tarjetas y otros temas  financieros delicados.

 

 

Monitoree regularmente y mantenga las redes

 

10 Rastree y monitoree todos los accesos a recursos de la red y a los datos de los propietarios de tarjetas

 

11 Pruebe en forma regular los sistemas y procesos de seguridad

 

• Existen muchas herramientas para monitorear y mantener una red, pero ¿cuál es la correcta para usted? Recomendamos soluciones tecnológicas adecuadas como Sistemas de detección de intrusión en la red, Sistemas de detección de intrusión en el host y comprobación de la integridad de los archivos para su propio monitoreo. Incluso realizamos por usted las pruebas regulares obligatorias de los  sistemas y procesos de seguridad, incluso las pruebas regulares de  penetración y exámenes de vulnerabilidad.
 

 

Mantenimiento de una Estrategia de Seguridad de información

 

12 Mantener una estrategia que proteja el infosec

 

• El requisito final para las normas y los procedimientos formales incluye un plan de respuesta a incidentes.  Considerando que ésta es una área que a menudo recibe poca consideración y que  siempre es investigada por los inspectores, este requisito debería probablemente recibir gran consideración.  Planes de seguridad eficaces son increíblemente difíciles de poner en ejecución sin una fundación apropiada construida en normas y procedimientos, pero nosotros tenemos experiencia durante todo el año en este campo y podemos proveerle su propia política de seguridad.

 

Servicios para Comerciantes, Proveedores de servicio y Terceras-Partes
No importa si usted es un comerciante pequeño o un proveedor de servicio mayorista, el SMCSP ofrece atención profesional y un proceso para ponga su entorno en conformidad con el estándar de seguridad de datos del PCI.  Nos concentramos en estos elementos principales:

 

• Recolección de Documentación/Prueba

La Norma de Seguridad de Datos PCI (Industria de la Tarjeta de Pago) de las asociaciones requiere documentación y pruebas como parte del proceso de evaluación MCCP (Programa de Cumplimiento Multi-Tarjeta). La documentación incluye, entre otras cosas, las políticas y procedimientos de seguridad, los documentos de configuración y diagramas de red.

• Análisis de la Documentación/Prueba

Es necesario realizar un análisis de toda la documentación para validar el cumplimiento con la Norma de Seguridad de Datos de la PCI. Durante esta etapa inicial se identificarán las áreas que no cumplen con dicha norma.

• Evaluación en campo

STEALTH - ISS® entrevistará al personal clave del área comercial y operativo y llevará a cabo las pruebas requeridas, que respaldan la Norma de Seguridad de Datos PCI.

• Escaneo de Vulnerabilidad

Nosotros contamos con profesionales experimentados que harán uso de lo ultimo en tecnología y de sus conocimientos técnicos para efectuar un análisis de vulnerabilidad que coincida con el Estándar en Datos de Seguridad del PCI.

• Pruebas de Penetración

De acuerdo con el Requisito 10 de VISA CISP y con la Norma 2 de Discover DISC, debe efectuarse una prueba de penetración anualmente o luego de un cambio significativo de la red. STEALTH- ISS Inc. lleva a cabo esta prueba de penetración para evaluar la seguridad de la cara externa (Internet) del entorno.

• Informe Final 

STEALTH - ISS® entrega documentación completa de la audición, incluso el Informe de Cumplimiento con el programa, para ayudarlo a revalidar su conformidad con el Estándar en Datos de Seguridad del PCI.

 

---

Otros servicios de cumplimiento de seguridad:

• The Health Insurance Portability and Accountability Act (HIPAA)

• Gramm-Leach-Bliley

• Sarbanes-Oxley

• Security Breach Notification Act

• VISA CISP

• NIST-800

• ISO 17799