PCI DSS – Payment Card Industry Data Security Standard

PCI-DSS es el acrónimo de “Payment Card Industry-Data Security Standards”, un programa desarrollado inicialmente por Visa y MasterCard a nivel global y adoptado después por Amex, Diners, Discover y JCB.

PCI-DSS define los requisitos de seguridad de cuentas y tarjetas que tienen que cumplir las organizaciones que procesan, transmiten y almacenan datos de las mismas.

Los criterios de aplicabilidad y, por tanto, las exigencias de PCI- DSS para comercios (merchants) varían en función del volumen de transacciones y de la tipología – canal o medios – de estas transacciones.

Ámbito de la norma PCI-DSS

El estándar PCI-DSS protege dos tipos de datos:

  • La información de los titulares (el número de tarjeta, el nombre del titular, fecha de expiración)
  • La información sensible de autenticación, banda magnética de la tarjeta, pin y código de validación que se utiliza para transacciones no presenciales.

En cualquier medio o formato de transmisión, soporte o proceso (papel, TPV, Internet, Teléfono, servidor, etc.)

Y prohíbe expresamente el almacenamiento de los datos de autenticación:

  • CAV2/CVC2/CVV2/CID,
  • PIN/PIN block
  • Banda magnética completa –pista 1-

Es parecido a la protección de RGPD, pero:

  • Exige informe de evaluación periódico para el emisor (bancos como intermediarios de SERMEPA con la agencia, etc.) que incluye la evaluación de los sistemas internos.
  • Exige informe de auditoría periódica externa de verificación de seguridad perimetral (escaneos externos de red para detectar posibles anomalías que posibiliten intrusión desde internet, wifi u otros) para aquellos casos en que los datos están en redes o ordenadores accesibles desde el exterior.

La ejecución de escaneos de vulnerabilidades externos trimestrales por parte de proveedores certificados como ASV es uno de los requerimientos que establece PCI-DSS en su apartado 11.2 con el objetivo de comprobar de forma regular la seguridad de los sistemas, procesos y aplicaciones

Resumen de las fases y actividades de la Adecuación

Planificación y lanzamiento del Proyecto

Adecuación-Asesoría previa

Evaluación, medidas e informe

Análisis de vulnerabilidad perimetral