PCI DSS – Payment Card Industry Data Security Standard
PCI-DSS és l’acrònim de “Payment Card Industry-Data Security Standards”, un programa desenvolupat inicialment per Visa i MasterCard a nivell global i adoptat després per Amex, Diners, Discover i JCB.
PCI-DSS defineix els requisits de seguretat de comptes i targetes que han de complir les organitzacions que processen, transmeten i emmagatzemen dades d’aquestes.
Els criteris d’aplicabilitat i, per tant, les exigències de PCI- DSS per a comerços (merchants) varien en funció del volum de transaccions i de la tipologia – canal o mitjans – d’aquestes transaccions.
Àmbit de la norma PCI-DSS
L’estàndard PCI-DSS protegeix dos tipus de dades:
- La informació dels titulars (el número de targeta, el nom del titular, data d’expiració)
- La informació sensible d’autenticació, banda magnètica de la targeta, pin i codi de validació que s’utilitza per a transaccions no presencials.
En qualsevol mitjà o format de transmissió, suport o procés (paper, TPV, Internet, Telèfon, servidor, etc.)
I prohibeix expressament l’emmagatzematge de les dades d’autenticació:
- CAV2/CVC2/CVV2/CID,
- PIN/PIN block
- Banda magnètica completa –pista 1-
És semblant a la protecció de RGPD, però:
- Exigeix informe d’avaluació periòdic per a l’emissor (bancs com a intermediaris de SERMEPA amb l’agència, etc.) que inclou l’avaluació dels sistemes interns.
- Exigeix informe d’auditoria periòdica externa de verificació de seguretat perimetral (escanejos externs de xarxa per a detectar possibles anomalies que possibilitin intrusió des d’internet, wifi o altres) per a aquells casos en què les dades estan en xarxes o ordinadors accessibles des de l’exterior.
L’execució d’escanejos de vulnerabilitats externs trimestrals per part de proveïdors certificats com ASV és un dels requeriments que estableix PCI-DSS en el seu apartat 11.2 amb l’objectiu de comprovar de forma regular la seguretat dels sistemes, processos i aplicacions
Resum de les fases i activitats de l’Adequació
Planificació i llançament del Projecte
Adequació-Assessoria prèvia
Avaluació, mesures i informe
Anàlisi de vulnerabilitat perimetral
Adeqüem la seva companyia al nou Reglament General de Protecció de Dades i a la Llei orgànica de Protecció de Dades Personals i Garantia dels Drets Digitals. Eviti futures sancions i ofereixi garanties del seu rigor professional als seus clients.
Adequacions a la Llei de Serveis de la Societat de la Informació i Comerç Electrònic (LSSI-CE), perquè estigui tranquil amb la gestió de la seva pàgina web i les seves comunicacions electròniques.
Adequació a la Llei orgànica 5/2010 del Codi Penal que regula la responsabilitat penal de les societats pels delictes comesos, en el seu nom i/o en el seu profit, pels seus representants o empleats.