El Est?ndar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un conjunto de pautas y mejores pr?cticas proporcionadas a todas las empresas y otras entidades que procesan, transmiten o almacenan datos de tarjetas de cr?dito. Estas pautas fueron desarrolladas por el PCI Security Standards Council (PCI SSC) y est?n destinadas a prevenir fugas de datos y el robo de identidad resultante y el fraude de tarjetas de cr?dito. Hay tres fases continuas involucradas en el cumplimiento de las PCI DSS: evaluaci?n de procesos comerciales e identificaci?n de riesgos potenciales, remediaci?n de esos riesgos e informes de esfuerzos de cumplimiento a bancos relevantes y otros emisores de tarjetas de cr?dito.
Lo m?s importante en el cumplimiento de los est?ndares de seguridad de datos de la industria de tarjetas de pago es la creaci?n y mantenimiento de una red inform?tica segura. Se debe construir un firewall robusto entre los datos del titular de la tarjeta y el acceso externo a la red. Las contrase?as del sistema deben implementarse junto con otras medidas de seguridad en cada punto potencial de vulnerabilidad de la red. Todos los datos del titular de la tarjeta deben almacenarse de forma segura y, cuando se transmiten a trav?s de redes p?blicas, deben estar encriptados. Las medidas en curso incluyen el uso de software antivirus y el acceso restringido f?sico o inform?tico a los datos por parte del personal en funci?n de las necesidades comerciales de la empresa.
Existen numerosas herramientas y servicios disponibles para ayudar a las organizaciones a lidiar con el PCI DSS. Si bien el PCI SSC establece los est?ndares para el cumplimiento de PCI, todas las principales marcas de tarjetas de cr?dito han creado sus propios est?ndares con respecto a la aplicaci?n y el cumplimiento de esos est?ndares, as? como los procedimientos de validaci?n de tarjetas de cr?dito. Cada una de estas compa??as ofrece orientaci?n en l?nea y de otro tipo a organizaciones que aceptan sus tarjetas. El PCI SSC tambi?n opera un programa que aprueba Evaluadores de seguridad calificados que validan el cumplimiento del Est?ndar de seguridad de datos de la industria de tarjetas de pago. Para las organizaciones que autoeval?an su cumplimiento, el PCI SSC proporciona herramientas de validaci?n llamadas Cuestionarios de autoevaluaci?n en varias formas, cada una adaptada a entornos empresariales espec?ficos.
Una premisa clave para cumplir con el Est?ndar de seguridad de datos de la industria de tarjetas de pago es almacenar solo datos de tarjetas de cr?dito que sean esenciales para las necesidades de la organizaci?n. Los datos almacenados deben estar sujetos a l?mites de tiempo y los datos de autenticaci?n de transacciones nunca deben almacenarse. Todos los n?meros de cuenta y otros datos confidenciales que se transmiten en redes p?blicas deben estar parcialmente enmascarados.
Otras medidas continuas de PCI DSS incluyen la creaci?n y el mantenimiento de un programa de gesti?n de vulnerabilidades que crea aplicaciones y programas seguros. Tambi?n se requiere monitoreo de rutina y pruebas de red para identificar debilidades. Cada organizaci?n tambi?n debe mantener y distribuir una pol?tica de seguridad por escrito a todo el personal.
Inteligente de activos.