¿Qué es un checklist de cumplimiento de la norma PCI DSS?
Un checklist del cumplimiento de la norma PCI DSS es un documento que se utiliza para evaluar si los sistemas de tarjetas de pago están protegidos. Esta evaluación incluye los pagos en línea, los terminales físicos de tarjetas de pago y el manejo de los datos de las tarjetas.
El contenido de la checklist del evaluación del PCI DSS lo elabora un foro internacional llamado PCI Security Standards Council. Los miembros del consejo son Visa, Mastercard, American Express, JCB International y Discover Financial Services. Juntos, crean y desarrollan normas y recursos educativos para garantizar la seguridad de los pagos en todo el mundo.
El cumplimiento de las normas PCI es imprescindible si una empresa va a recibir pagos con tarjeta. Aunque el proceso de cumplimiento es continuo, aportará muchos beneficios, como ganar la confianza de los clientes, mejorar la reputación de la tienda y prevenir las violaciones de datos.
En este artículo se explican los siguientes puntos:
1. Controles y procesos de seguridad necesarios del PCI DSS
2. Cómo superar las auditorías de cumplimiento de PCI DSS con una checklist
3. Software gratis de auditoria y cumplimientos de PCI DSS
Controles y procesos de seguridad necesarios del PCI DSS
En el checklist de auditoría de PCI DSS, es necesario tener todos los controles y procesos de seguridad orden. Estos controles y procedimientos tienen como objetivo proteger los datos del titular de la tarjeta y los datos de autenticación introducidos en el sistema de pago de una tienda.
A continuación se indican seis objetivos que deben alcanzarse al establecer controles y procesos de seguridad. La información que figura a continuación procede del PCI Security Standards Council.
Construir y mantener un sistema y una red seguros
Establecer un sistema y una red seguros impedirá que los delincuentes accedan virtualmente a los datos de los titulares de las tarjetas y a los datos de autenticación. Para ello, se pueden dar dos pasos.
El primer paso es instalar y mantener una sólida configuración de cortafuegos. Un cortafuegos es un dispositivo de seguridad de red que controla el flujo de tráfico entre redes.
El segundo paso es cambiar todas las contraseñas por defecto o suministradas por el proveedor en el sistema. Ejemplos de contraseñas por defecto son «1234», «4321», «guest» «pass» y «admin». Las contraseñas suministradas por el proveedor son ampliamente conocidas y pueden ser fácilmente utilizadas por los hackers para infiltrarse en un sistema de pago.
Proteger los datos del titular de la tarjeta
Los datos de los titulares de las tarjetas son cualquier información que pueda encontrarse en una tarjeta de pago o dentro de ella. Según la checklist del evaluación del cumplimiento PCI DSS, se espera que las empresas protejan los datos de los titulares de las tarjetas.
Según las directrices, algunos datos (como el PAN, el nombre del titular de la tarjeta y la fecha de caducidad) pueden almacenarse, pero la información sensible (como los datos completos de la pista y el CVV) no debe almacenarse nunca. Y el primer paso para ello es proteger todos los datos del titular de la tarjeta almacenados en el sistema. Y esto implica enmascararlos, eliminarlos inmediatamente y hacerlos totalmente irrecuperables tras la autorización.
Otro paso crucial es encriptar todos los datos de los titulares de las tarjetas cuando deban transmitirse en una red pública. Esto se debe a que los hackers pueden interceptar fácilmente cualquier dato en una red pública. Por lo tanto, es necesario utilizar una criptografía fuerte y protocolos de seguridad para el cifrado.
Mantener un programa de gestión de la vulnerabilidad
Un Programa de Gestión de Vulnerabilidades es un proceso de búsqueda de vulnerabilidades, debilidades y «exploits» en un sistema de tarjetas de pago.
Para lograrlo, la auditoría de cumplimiento de la norma PCI DSS exige tener protección contra el malware y la actualización periódica del software antivirus en el sistema. Esto eliminará significativamente cualquier amenaza de software que pueda haber entrado.
Lo siguiente es desarrollar y mantener sistemas y aplicaciones de seguridad sólidos. Es necesario aplicar continuamente los parches suministrados por el proveedor. Esto es crucial, ya que contiene correcciones y reparaciones de las vulnerabilidades del sistema.
Implementar fuertes medidas de control de acceso
Tener un fuerte control de acceso a un sistema de tarjetas de pago reduce drásticamente el número de usuarios que acceden a los datos de los titulares de las tarjetas. El Consejo exige que el acceso sea del tipo «necesidad de conocer».
La restricción de acceso es una medida necesaria. Esto significa limitar el acceso a los datos en función de las responsabilidades laborales y los privilegios del usuario del sistema.
Otra medida necesaria es encontrar formas de identificar y autenticar los componentes del sistema de un usuario. De este modo, se puede rastrear cualquier acceso y cambio realizado.
Supervisar y probar regularmente las redes
Los sistemas y dispositivos de red pueden ser utilizados por los delincuentes para acceder a la información de las tarjetas de pago. Y para proteger el sistema de estos ataques, es necesario supervisar y probar regularmente las redes.
Para ello, el Consejo exige que se introduzcan mecanismos de registro en el entorno de la red. Esto permitirá rastrear fácilmente los casos de datos de titulares de tarjetas comprometidos.
Los delincuentes buscan continuamente formas de encontrar vulnerabilidades en el sistema, por lo que deben probar los componentes del sistema, los procesos y el software con regularidad. Esto es crítico, especialmente si hay un cambio en el sistema como un software recién instalado y cambios en las configuraciones del sistema.
Mantener una política de seguridad de la información
Promover la concienciación de los empleados sobre la sensibilidad y la responsabilidad de los datos de los titulares de las tarjetas es una gran manera de mejorar los controles de seguridad. Por ello, la checklist del evaluación del cumplimiento PCI DSS exige una política de seguridad de la información sólida en una empresa.
Proceso general de aprobación en la auditoría de cumplimiento de la PCI DSS
Además de tener en cuenta los controles y medidas de seguridad requeridos, también hay otros requisitos como las consultas y la documentación para aprobar completamente las Normas de Seguridad de Datos PCI.
Aunque los requisitos específicos pueden variar en función de la marca de la tarjeta de pago, los pasos generales que se indican a continuación pueden servir de referencia para el proceso de cumplimiento de las Normas de Seguridad de Datos de la PCI.
- Alcance – Determinar con precisión qué componentes del sistema están en el alcance o incluidos en la PCI DSS. Esto incluye a todas las personas, procesos y tecnología que están relacionados con los datos de los titulares de las tarjetas.
- Evaluar – Evaluar el cumplimiento de todos los componentes del sistema que entran en el ámbito de la PCI DSS.
- Informe – Aprobación de toda la documentación requerida, como políticas de seguridad, registros de control, registros de formación, cuestionarios de autoevaluación e informes de cumplimiento.
- Atestiguar – Aprobar la Atestación de Cumplimiento (AOC), que es un documento que declara que una entidad mantuvo todas las mejores prácticas recomendadas por el Consejo.
- Presentar – Presentación de todos los documentos justificativos al adquirente o al solicitante.
- Remediar – Corregir y abordar todos los requisitos que no se han cumplido.
Software gratis de auditoría y cumplimientos de PCI DSS
Las comprobaciones de la PCI DSS son un proceso continuo que debe repetirse una y otra vez. Para mantener una visión general, recurrir a los datos de las auditorías anteriores y simplificar las auditorías, una herramienta digital es más adecuada que los documentos en papel.
Lumiform es una aplicación móvil de alta legibilidad para auditorías e inspecciones. Utilizando la aplicación en su smartphone o tableta, puede realizar fácilmente autoevaluaciones de cumplimiento de PCI DSS sobre el terreno y compartir los datos al instante con otros empleados.
Establezca Lumiform como su aplicación de cumplimiento PCI aprovechando las siguientes ventajas de la solución digital:
- Acceda a listas de comprobación PCI DSS gratuitas y listas para usar de la biblioteca de plantillas de Lumiform.
- Cree plantillas o convierta los formularios en papel existentes en formato digital en tan solo unos pasos con el flexible creador de formularios.
- Utilice la aplicación en su smartphone o tableta para realizar auditorías y evaluaciones, tanto en línea como sin conexión.
- Cree acciones correctivas en la aplicación y asígnelas a los responsables. Establezca la fecha de vencimiento y determine el nivel de prioridad.
- Vea y anote fotos durante los controles para crear un informe completo y detallado.
- Genere y envíe automáticamente informes al personal adecuado.
- Almacenar los informes en un almacenamiento seguro en la nube para garantizar que solo el personal autorizado pueda acceder a los datos.
