PCI DSS 4.0

¿Que es?

PCI DSS surge con el objetivo de aumentar la seguridad de los datos de tarjeta y para estandarizar la adopción de medidas de seguridad a nivel mundial.

PCI DSS renueva sus requisitos que entran en vigor en abril del 2024 en su versión 4.0 es el nivel más exigente de cumplimiento de los Estándares de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).

PCI DSS protege los datos de tarjetahabientes con requisitos de seguridad en redes, acceso, encriptación, monitoreo y formación de empleados para prevenir fraudes y pérdida de datos.

Requisito 1

El requisito 1 de la PCI DSS se enfoca en instalar y mantener controles de seguridad, como firewalls y configuraciones de red, para proteger el Entorno de Datos de Tarjeta (CDE). Estos controles incluyen políticas de red que regulan el tráfico entre segmentos lógicos o físicos, siguiendo reglas predefinidas para una red segura y cumplir las mejores prácticas de seguridad.

Requisito 2

El Requisito 2 de PCI DSS se enfoca en aplicar configuraciones seguras a todos los sistemas y componentes que manejan datos de tarjetas de pago. Esto incluye cambiar contraseñas predeterminadas, eliminar software, funciones y cuentas innecesarias, así como deshabilitar servicios no utilizados para reducir vulnerabilidades ante posibles ataques.

Requisito 3

El Requisito 3 de PCI DSS se enfoca en proteger los datos de tarjetas almacenados. Esto implica utilizar métodos como el cifrado, truncamiento, enmascaramiento y hash para proteger la información de las cuentas. Se reduce al mínimo el almacenamiento de estos datos y se establecen procesos de gestión de claves para la criptografía que cubren todo su ciclo de vida.

Requisito 4

El Requisito 4 de PCI DSS se centra en asegurar la transmisión segura de datos de tarjetas a través de redes públicas abiertas. Esto implica:

  • El cifrado de datos PAN durante la transmisión en redes no confiables.
  • Prevenir vulnerabilidades en redes inalámbricas y protocolos de autenticación heredados para evitar acceso no autorizado al Entorno de Datos de Titulares de Tarjetas (CDE).
  • Realizar análisis y cumplir con los requisitos de PCI DSS para cualquier red que se utilice.
  • Definir y documentar procesos y mecanismos para asegurar la criptografía sólida durante la transmisión de PAN.

Requisito 5

El Requisito 5 de PCI DSS se enfoca en proteger los sistemas contra el malware y otras amenazas de seguridad. Se establecen procesos y mecanismos para proteger las redes y sistemas contra software malicioso. Esto se logra mediante:

  • Definición y comprensión de procesos para evitar, detectar y solucionar el malware.
  • Mantenimiento de mecanismos antivirus activos, actualizados y bajo monitoreo constante.
  • Implementación de medidas contra el phishing para proteger a los usuarios de fraudes informáticos.
  • El uso de soluciones antimalware abarca diferentes tipos de amenazas, protegiendo así los sistemas contra malware actual y emergente.
  • Realización de evaluaciones y escaneos periódicos de los componentes para prevenir y detectar ataques de malware.

Requisito 6

El requisito 6 se refiere al monitoreo y respuesta que se tiene que hacer para garantizar la seguridad contra amenazas.

  • Los sistemas y datos del titular de la tarjeta deben ser monitoreados de forma continua para detectar amenazas.
  • Las amenazas deben ser respondidas de forma oportuna y eficaz.

Requisito 7

Es crucial que las empresas establezcan un detallado plan de respuesta ante incidentes de seguridad, abarcando protocolos exhaustivos para la notificación, investigación y recuperación de los mismos.

  • Las empresas deben tener un plan para responder a los incidentes de seguridad.
  • El plan debe incluir procedimientos para la notificación, la investigación y la recuperación de los incidentes.

Requisito 8

Se establece que las empresas deben asignar una identificación única a cada persona que tenga acceso a un computador. Esta identificación debe ser utilizada para autenticar a los usuarios antes de que puedan acceder a los sistemas y datos del titular de la tarjeta.

  • Los empleados deben ser formados en los principios de seguridad de la información.
  • Los empleados deben ser conscientes de las amenazas a la seguridad de los datos del titular de la tarjeta.

Requisito 9

Las empresas deben implementar controles de seguridad físicos para proteger los datos del titular de la tarjeta y los sistemas que los albergan. Estos controles deben incluir medidas para restringir el acceso físico a las instalaciones, los sistemas y los datos del titular de la tarjeta.

  • Los sistemas y controles de seguridad deben ser evaluados periódicamente para garantizar su eficacia.
  • Las pruebas de seguridad deben realizarse de forma regular.

Requisito 10

Las empresas deben implementar registros de auditoría para rastrear el acceso a los sistemas y datos del titular de la tarjeta. Estos registros deben incluir información sobre quién accedió a los sistemas y datos, cuándo y qué hicieron.

  • Las instalaciones físicas donde se almacenan o procesan los datos del titular de la tarjeta deben estar protegidas.
  • El acceso a las instalaciones físicas debe estar restringido a las personas autorizadas.

Requisito 11

Las empresas deben implementar una seguridad de aplicación sólida para proteger los datos del titular de la tarjeta. Esto incluye medidas para garantizar que las aplicaciones estén diseñadas y codificadas de forma segura, y que se encuentren protegidas contra las vulnerabilidades.

  • Las aplicaciones que procesan o almacenan datos del titular de la tarjeta deben ser seguras.
  • Las aplicaciones deben ser desarrolladas y mantenidas de acuerdo con los principios de seguridad de la información.

Requisito 12

Se debe implementar un proceso para gestionar el cumplimiento del PCI DSS. Este proceso debe incluir medidas para evaluar el cumplimiento, implementar las correcciones necesarias y documentar el cumplimiento.

  • Las empresas deben tener un proceso para gestionar su cumplimiento con los requisitos de PCI DSS.
  • La empresa debe tener un programa de auditoría interno para verificar el cumplimiento.

Tel: +52  56 1381 5636
[email protected]
[email protected]

Scroll al inicio