Introducing G2.ai, the future of software buying.Try now
Glosario de Tecnología

Cumplimiento PCI

Sagar Joshi
SJ
por Sagar Joshi
El cumplimiento con el estándar de seguridad de datos de la industria de tarjetas de pago (PCI) desempeña un papel crucial en la seguridad de los datos. Aprende más sobre el cumplimiento PCI, cómo ayuda a las empresas a mantener seguros los datos de las tarjetas de crédito, e información útil sobre los beneficios y las mejores prácticas del cumplimiento PCI.
DefiniciónSoftware de Cumplimiento PCI

En esta publicación

En esta publicación

¿Qué es el cumplimiento PCI?

El cumplimiento de la industria de tarjetas de pago (PCI), originalmente conocido como cumplimiento del estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), es un código de conducta autorregulado de la industria administrado por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago.

El cumplimiento PCI exige que las organizaciones que manejan tarjetas de crédito de marcas bajo los principales esquemas de tarjetas (Visa, Mastercard, American Express, etc.) acepten, almacenen, procesen y transmitan de manera segura los datos del titular de la tarjeta.

Las empresas necesitan descubrir datos sensibles almacenados, transmitidos o procesados en su sistema y protegerlos del acceso no autorizado para cumplir con PCI. El software de descubrimiento de datos sensibles facilita la localización de estos datos sensibles y ayuda a las empresas a establecer medidas adecuadas para evitar que los hackers accedan a ellos.

Las organizaciones necesitan lo siguiente para cumplir con PCI:

  • 12 requisitos generales de cumplimiento PCI
  • 78 requisitos base según su negocio
  • Cuatrocientos procedimientos de prueba para asegurar que su organización cumple con los requisitos PCI (dependiendo de su negocio)

Las regulaciones de cumplimiento PCI aseguran que tanto los clientes como las empresas estén protegidos de violaciones de datos. Se aplica a todas las empresas que manejan información de tarjetas de crédito y es una piedra angular del protocolo de seguridad de cada organización.

Los estándares PCI han ampliado sus lineamientos para incluir transacciones por internet encriptadas y han añadido nuevas reglas y regulaciones para acomodar los avances recientes en tecnología de pagos y comercio.

Software de Cumplimiento PCI
Software que menciona a cumplimiento pci como una característica o término.
VGS Platform
VGS Platform
Trustwave Managed SIEM
Trustwave Managed SIEM
Stripe Connect
Stripe Connect
AlienVault USM (from AT&T Cybersecurity)
AlienVault USM (from AT&T Cybersecurity)
Clover
Clover
Qualys VMDR
Qualys VMDR

Niveles de cumplimiento PCI

Cuatro niveles de cumplimiento PCI determinan el número de transacciones que un comerciante maneja cada año.

  • Nivel 1: Comerciantes que procesan más de 6 millones de transacciones con tarjeta por año.
  • Nivel 2: Comerciantes que procesan de 1 a 6 millones de transacciones con tarjeta por año.
  • Nivel 3: Comerciantes que procesan de 20,000 a 1 millón de transacciones con tarjeta por año.
  • Nivel 4: Comerciantes que procesan menos de 20,000 transacciones con tarjeta por año.

Para las organizaciones en el nivel 1 de cumplimiento PCI, lograr el cumplimiento PCI incluye realizar auditorías externas por un evaluador de seguridad calificado (QSA) o un evaluador de seguridad interno (ISA). El QSA o ISA realiza una evaluación in situ para:

  • Validar el alcance de la evaluación
  • Revisar la información técnica y la documentación,
  • Determinar si se cumplen los requisitos PCI
  • Ofrecer orientación y apoyo durante el proceso de cumplimiento
  • Evaluar controles compensatorios

Después de una evaluación exitosa, el evaluador de seguridad calificado presenta un Informe de Cumplimiento (RoC) a los bancos operativos de la organización para demostrar el cumplimiento.

Las organizaciones de Nivel 2 de cumplimiento PCI también deben completar un RoC.

Las organizaciones de Nivel 2 a 4 pueden completar un cuestionario de autoevaluación en lugar de auditorías externas para determinar el cumplimiento.

Beneficios del cumplimiento PCI DSS

El cumplimiento PCI DSS proporciona un conjunto de regulaciones y requisitos para asegurar la confidencialidad y seguridad óptimas de los datos.

Algunos de los beneficios de cumplir con PCI DSS son:

  • El cumplimiento PCI DSS asegura que los activos de la empresa tengan múltiples capas de seguridad.
  • Enumera amenazas y vectores de ataque en evolución, haciendo el entorno de datos más seguro.
  • PCI DSS implica la configuración de cortafuegos, sistemas SIEM, y otra infraestructura de seguridad para recopilar inteligencia de amenazas en caso de anomalías.
  • El cumplimiento PCI enfatiza la encriptación de los datos del titular de la tarjeta, haciendo que un negocio conforme a PCI DSS sea un objetivo menos valioso para los ciberdelincuentes.
  • Los principios de cumplimiento PCI ponen un fuerte enfoque en proteger los datos del titular de la tarjeta mientras se almacenan o transmiten. Enfatiza la aplicación de los principios PCI con una infraestructura de seguridad adecuada para ayudar a las organizaciones a prevenir violaciones de datos.
  • El cumplimiento PCI DSS construye y mantiene la confianza del cliente y hace que la seguridad de los datos sea libre de complicaciones.
  • El cumplimiento PCI ayuda a alinear a las empresas con estándares aceptados por la industria en el almacenamiento, procesamiento y transmisión de información del titular de la tarjeta.
  • El cumplimiento PCI DSS ayuda a las organizaciones a cumplir con estándares de seguridad de datos reconocidos por la industria.

Requisitos de cumplimiento PCI

Los requisitos de cumplimiento PCI DSS se centran en lograr el cumplimiento PCI y proteger los datos del titular de la tarjeta del acceso no autorizado.

1. Protege la red de la empresa con cortafuegos

Pasos que puedes tomar para proteger tu red:

  • Configura cortafuegos para asegurar la red de la empresa y regular el tráfico entrante y saliente según los criterios organizacionales.
  • Usa cortafuegos de hardware y cortafuegos de software para proteger la red.
  • Configura los cortafuegos para el tráfico entrante y saliente. Si un atacante penetra el sistema, será difícil para ellos exportar la información robada debido a las reglas de salida.

2. Abstente de usar contraseñas predeterminadas y configura ajustes

Para cumplir con el segundo requisito de cumplimiento PCI:

  • Cambia las contraseñas predeterminadas e implementa el endurecimiento del sistema y la gestión de la configuración del sistema.
  • Aborda todas las vulnerabilidades en el sistema, remédialas e infórmalas, y asegúrate de que los estándares de endurecimiento del sistema se alineen con las mejores prácticas de la industria.
  • Adopta software de gestión de sistemas, que sirve como un paquete completo para monitorear, escanear y configurar dispositivos y opciones de endurecimiento del sistema.
  • Verifica que el estándar de endurecimiento del sistema esté implementado de manera segura a medida que se introducen nuevos dispositivos y aplicaciones en el entorno del sistema.

3. Protege los datos almacenados del titular de la tarjeta contra el acceso no autorizado

Adopta la siguiente medida para proteger los datos del titular de la tarjeta contra el acceso no autorizado:

  • Encripta los datos del titular de la tarjeta utilizando estándares de encriptación fuertes y aceptados por la industria como AES-256.
  • Asegúrate de que los sistemas almacenen detalles confidenciales del titular de la tarjeta en un formato encriptado.
  • Crea y documenta el diagrama de flujo de datos del titular de la tarjeta (CHD). Es una representación gráfica del flujo de datos dentro de una organización.
  • Usa una herramienta de descubrimiento de datos sensibles para encontrar información sensible como el número de seguro social en los sistemas de la empresa para encriptarla o eliminarla.

4. Encripta la transmisión de datos del titular de la tarjeta a través de redes abiertas y públicas

Considera lo siguiente para encriptar la transmisión de datos del titular de la tarjeta a través de redes abiertas o públicas:

  • Identifica cómo y dónde se están transmitiendo los datos. Mantén un registro de todas las áreas donde se envían detalles similares.
  • Haz la transición de la capa de sockets seguros (SSL) y las primeras versiones de seguridad de la capa de transporte (TLS) a versiones más seguras de TLS.
  • Verifica las pasarelas, proveedores de terminales, proveedores de servicios y bancos para ver si utilizan encriptación actualizada para aplicaciones transaccionales.

5. Usa una versión actualizada de software antivirus

Adopta las siguientes medidas para cumplir con el quinto requisito PCI DSS.

  • Usa software antivirus y prevén que los sistemas sean afectados por malware conocido.
  • Actualiza el software antivirus regularmente.
  • Recopila información sobre malware emergente y las diferentes formas en que puede penetrar los sistemas de la empresa.
  • Configura los sistemas y diseña procesos para ser alertado cuando ocurra cualquier actividad maliciosa en el entorno del sistema.
  • Realiza escaneos de malware periódicos para asegurarte de que tienes un proceso diseñado para implementarlo.

6. Desarrolla y mantén sistemas y aplicaciones seguras

Practica los siguientes métodos para desarrollar y mantener sistemas y aplicaciones seguras:

  • Corrige debilidades de seguridad con parches recientes lanzados por el proveedor de software.
  • Instala las últimas actualizaciones de seguridad y vulnerabilidades corregidas en aplicaciones y sistemas que son cruciales para el flujo de datos de la tarjeta.
  • Instala parches críticos dentro de un mes de su lanzamiento para asegurar el cumplimiento
  • Sé proactivo en la gestión de parches e implementación tan pronto como se lance el parche.

7. Restringe el acceso a los datos del titular de la tarjeta según la necesidad de saber del negocio

Considera lo siguiente para restringir el acceso a los datos del titular de la tarjeta:

  • Asegura controles de acceso estrictos a los datos del titular de la tarjeta implementando sistemas de control de acceso basado en roles (RBAC) que otorgan acceso a los detalles del titular de la tarjeta según la necesidad de saber.
  • Abstente de crear usuarios grupales o compartir una cuenta de usuario común con otros usuarios. Será un desafío rastrear violaciones de datos.

8. Asigna una ID única a cada persona con acceso a la computadora

Toma los siguientes pasos para cumplir con el octavo requisito del PCI DSS:

  • Asigna una ID única a cada usuario con acceso a la computadora y crea contraseñas fuertes para prevenir el acceso no autorizado.
  • Crea múltiples capas de seguridad al proteger las cuentas de usuario.
  • Usa soluciones de autenticación multifactor para proporcionar capas adicionales de defensa y proteger tus sistemas de atacantes.

9. Restringe el acceso físico al lugar de trabajo y a los datos del titular de la tarjeta

Cosas importantes a considerar para cumplir con el noveno requisito de PCI DSS:

  • Limita el acceso de los empleados a áreas con datos del titular de la tarjeta almacenados.
  • Documenta a los empleados con acceso a entornos seguros y a aquellos que necesitan privilegios de acceso. Lista todos los usuarios autorizados de dispositivos, ubicaciones donde el dispositivo no está permitido y dónde se encuentra actualmente. Anota todas las aplicaciones que se pueden acceder en un dispositivo. Registra qué, dónde, cuándo y por qué se están utilizando los dispositivos.
  • Diferencia entre empleados y visitantes en la organización, y usa métodos para monitorear a las personas con acceso a entornos seguros.
  • Asegúrate de que los privilegios de acceso del usuario sean eliminados, y los mecanismos de acceso físico como llaves y tarjetas de acceso sean desactivados o devueltos al dar de baja a los empleados.

10. Rastrear y monitorear el acceso a recursos de red y datos del titular de la tarjeta

Puntos cruciales a considerar al rastrear y monitorear el acceso a recursos de red y datos del titular de la tarjeta:

  • Implementa y mantén un sistema de registro para ver todos los registros y recibir alertas en caso de anomalías.
  • Revisa los registros de eventos del sistema al menos una vez al día para identificar patrones, recopilar inteligencia de amenazas y detectar comportamientos que contradicen las tendencias esperadas.
  • Usa soluciones de gestión de información y eventos de seguridad (SIEM) para construir y gestionar un sistema centralizado de recopilación de registros, monitoreo e inspección.

11. Prueba regularmente los sistemas de seguridad y procesos

Sigue las prácticas mencionadas a continuación para cumplir con el undécimo requisito de PCI DSS.

  • Realiza escaneos de vulnerabilidad frecuentes para identificar si las debilidades de seguridad fueron corregidas con éxito.
  • Realiza escaneos de vulnerabilidad trimestrales para todas las IPs externas y dominios expuestos en el entorno de datos del titular de la tarjeta utilizando un proveedor de escaneo aprobado por PCI (ASV).
  • Realiza pruebas de penetración regulares para identificar diferentes formas en que los hackers pueden explotar vulnerabilidades para configurar de manera segura tus sistemas de seguridad y proteger los datos contra tácticas maliciosas similares. (La frecuencia de las pruebas de penetración depende de tu cuestionario de autoevaluación (SAQ), entorno, tamaño, procedimientos y otros factores).

12. Evaluación de riesgos y documentación

Adopta las siguientes prácticas para cumplir con el requisito final de cumplimiento PCI DSS:

  • Documenta todas las políticas, procedimientos y evidencias asociadas con las prácticas de seguridad de la información de la organización.
  • Evalúa riesgos formales y anuales para determinar amenazas críticas, vulnerabilidades y riesgos asociados.
Sagar Joshi
SJ

Sagar Joshi

Sagar Joshi is a former content marketing specialist at G2 in India. He is an engineer with a keen interest in data analytics and cybersecurity. He writes about topics related to them. You can find him reading books, learning a new language, or playing pool in his free time.

Software de Cumplimiento PCI

Esta lista muestra el software principal que menciona cumplimiento pci más en G2.

VGS Platform

VGS es el enfoque moderno para la seguridad de datos. Su solución SaaS te ofrece todos los beneficios de interactuar con datos sensibles y regulados sin la responsabilidad de asegurarlos.

Trustwave Managed SIEM

Trustwave Managed SIEM ayuda a las empresas a ver a través del ruido de datos fácilmente, responder rápidamente a amenazas emergentes y maximizar la protección de manera rentable mientras demuestran cumplimiento. Ya sea que su desafío sea elegir el SIEM adecuado, dotarlo de personal completamente, contener costos o mantenerse al día con nuevas amenazas y requisitos de cumplimiento, Trustwave puede ayudar.

Stripe Connect

Stripe ofrece soluciones para pagos web y móviles que están diseñadas para desarrolladores. Stripe proporciona un conjunto de API unificadas y herramientas que permiten a las empresas aceptar y gestionar pagos en línea de manera instantánea.

AlienVault USM (from AT&T Cybersecurity)

AlienVault USM (de AT&T Cybersecurity) es una plataforma que proporciona cinco capacidades de seguridad esenciales en una sola consola para gestionar tanto el cumplimiento como las amenazas, comprendiendo la naturaleza sensible de los entornos de TI, incluye tecnologías activas, pasivas y basadas en host para adaptarse a los requisitos de cada entorno particular.

Clover

Clover reemplaza su caja registradora, terminal de pago, impresora de recibos y escáner de códigos de barras con una suite integrada de productos. Acepta tarjetas de crédito, EMV y Apple Pay.

Qualys VMDR

Descubra, evalúe, priorice y corrija vulnerabilidades críticas en tiempo real y a lo largo de su entorno de TI híbrido global, todo desde una única solución.

PCIPal

PCI Pal es un conjunto de soluciones diseñado para ayudar a gestionar sus operaciones de contacto con clientes en cumplimiento con el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).

BlueSnap

Con BlueSnap, finalmente obtienes todo lo que necesitas para procesar pagos: una solución de pasarela de pago, cuenta de comerciante y funciones avanzadas para impulsar tus ganancias, todo en un solo lugar.

Shopify

Shopify es una plataforma de comercio basada en la nube diseñada para pequeñas y medianas empresas. Los comerciantes pueden usar el software para diseñar, configurar y gestionar sus tiendas a través de múltiples canales de venta, incluyendo web, móvil, redes sociales, ubicaciones físicas y tiendas temporales.

PayPal BrainTree

La plataforma robusta y multifacética de Braintree es ideal para empresas basadas en suscripción que desean configurar facturación recurrente o aceptar pagos repetidos en línea.

Vanta

Era evidente que la seguridad y la privacidad se habían convertido en temas de interés general, y que todos dependíamos cada vez más de los servicios en la nube para almacenar todo, desde nuestras fotos personales hasta nuestras comunicaciones en el trabajo. La misión de Vanta es ser la capa de confianza sobre estos servicios, y asegurar internet, aumentar la confianza en las empresas de software y mantener los datos de los consumidores seguros. Hoy, somos un equipo en crecimiento en San Francisco apasionado por hacer que internet sea más seguro y elevar los estándares para las empresas de tecnología.

Chargent

Procesamiento de pagos de Chargent para Salesforce. Procesamiento de pagos con tarjeta de crédito/ACH 100% nativo en Oportunidades, Casos, Órdenes de Chargent o sitios de Force.com.

EBizCharge

El portal de pago EBizCharge se integra con más de 50 soluciones de ERP, CRM, contabilidad y comercio electrónico, y está diseñado para: reducir los costos de procesamiento en un 15-40%, aumentar la eficiencia del procesamiento de pagos, eliminar la doble entrada, reducir el error humano, mejorar la seguridad y simplificar la experiencia del cliente. EBizCharge ofrece procesamiento de tarjetas de crédito en línea y móvil, historial de transacciones ilimitado, informes personalizables, facturación electrónica, cifrado seguro y tokenización, y más.

LogRhythm SIEM

LogRhythm empodera a las organizaciones en seis continentes para reducir con éxito el riesgo al detectar, responder y neutralizar rápidamente las ciberamenazas dañinas.

REPAY

REPAY (NASDAQ: RPAY) es un proveedor de tecnología de pagos que ofrece procesamiento de tarjetas y ACH, financiación instantánea, funciones automatizadas de cuentas por pagar y sistemas de pago de facturas en línea con capacidades web, de texto, aplicación móvil y IVR. Con las soluciones de pago integradas omnicanal de REPAY, los clientes pueden pagar y recibir pagos en cualquier momento y lugar.

Chargebee

La plataforma de facturación y monetización creada para la economía de la IA.

Zuora

Las soluciones de facturación de Zuora ayudan a las empresas a monetizar sus innovaciones a través de estrategias de precios flexibles y operaciones de facturación simples y automatizadas.

Passly

El 80% de las violaciones de datos de hoy en día son el resultado de contraseñas perdidas, débiles o robadas. Cada organización, independientemente de su tamaño, debe implementar una plataforma segura de gestión de identidad y acceso para proteger sus datos, empleados, redes y asegurar la continuidad del negocio. Passly fortalece tus defensas al agregar múltiples elementos esenciales de gestión de identidad y acceso seguros, incluyendo autenticación de dos factores, inicio de sesión único y gestor de contraseñas en una solución integral y rentable.

Ostendio

Ostendio es una plataforma de gestión de información y ciberseguridad basada en la nube que ofrece una manera fácil de usar y rentable para que las empresas demuestren el cumplimiento de la seguridad de la información con múltiples estándares y regulaciones de la industria.

Imperva App Protect

Incapsula es un servicio de seguridad y aceleración basado en la nube que hace que los sitios web sean más seguros, rápidos y confiables.