Marlon Altamirano Di Luca, PhD.

PCI Security Standards Council

Agenda
Introduccin
Definicin.
Quienes la deben de aplicar
Categorias y Requisitos de la Norma PCI
Certificacin
Beneficios de la Certificacin.

Definicin de Normas PCI-DSS

La norma PCI-DSS y sus documentos de apoyo
representan un conjunto de herramientas y
medidas comunes que se utilizan en la industria de
pagos, a fin de ayudar a asegurar el manejo seguro
de la informacin confidencial.
La norma entrega el marco para desarrollar un
proceso de seguridad de datos de las cuentas que
procesan transacciones, a fin de prevenir y
detectar incidentes de seguridad, para:
Reducir el riesgo de compromiso de
informacin.
Mitigar el impacto si llega a ocurrir.

Definicin de Normas PCI-DSS

Es un foro global abierto para el continuo desarrollo,
mejora, almacenamiento, divulgacin e
implementacin de normas de seguridad para la
proteccin de los datos de tarjetahabiente.

Quienes la deben cumplir.

Qu deben generar

Los 12 requisitos PCI - DSS

Los 12 requisitos PCI DSS son un conjunto de

controles de seguridad que las empresas estn
obligadas a implementar para proteger los datos de
las tarjetas de crdito y cumplir con el Estndar de
Seguridad de Datos para la Industria de Tarjetas de
Pago (PCI DSS).
Los requisitos han sido desarrollados y mantenidos
por el Consejo de Normas de Seguridad de la
Industria de Tarjetas de Pago (PCI).

Los 12 requisitos PCI - DSS

Cualquier organizacin que reciba tarjetas de pago,
incluyendo tarjetas de dbito y crdito, deber cumplir
con los 12 requisitos de forma directa o bien a travs
de un control de compensacin.
No obstante, los controles de compensacin no
siempre se admiten y deben ser aprobados bajo un
criterio de caso por caso, por parte de un asesor de
seguridad cualificado de la PCI (QSA PCI).
El incumplimiento de los 12 requisitos PCI DSS puede
derivar en multas o en la finalizacin de los privilegios
de procesamiento de tarjetas de crdito.

Categoras y Requisitos.
Construir y mantener una red segura.
Proteger la informacin del titular de la
tarjeta.
Mantener un programa
vulnerabilidades.

de

manejo

de

Implementar medidas slidas de control de

acceso.
Monitorear
y
regularidad.

probar

las

redes

con

Primera Categora.
Construir y mantener una red segura.
Instalar y mantener una configuracin de
firewall para proteger la informacin del
titular de la tarjeta.
No usar las aplicaciones preconfiguradas de
los proveedores para contraseas de
sistema y otros parmetros de seguridad

Categoras y Requisitos.
Construir y mantener una red segura.
Proteger la informacin del titular de la
tarjeta.

Segunda Categora.
Proteger la informacin del titular de la
tarjeta.
Proteger la informacin almacenada del
titular de la tarjeta
Encriptar la transmisin de datos del titular
de la tarjeta a travs de redes pblicas
abiertas

Categoras y Requisitos.
Construir y mantener una red segura.
Proteger la informacin del titular de la
tarjeta.
Mantener un programa
vulnerabilidades.

de

manejo

de

Tercera Categora.
Mantener un programa
vulnerabilidades.

de

manejo

Usar y actualizar con regularidad los

software antivirus.
Desarrollar y mantener aplicaciones de
sistemas seguros

de

Categoras y Requisitos.
Construir y mantener una red segura.
Proteger la informacin del titular de la
tarjeta.
Mantener un programa
vulnerabilidades.

de

manejo

de

Implementar medidas slidas de control de

acceso.

Cuarta Categora.
Implementar medidas slidas de control de
acceso.
Restringir el acceso a los datos del titular de
la tarjeta slo en caso de necesidad
comercial
Asignar una ID nica a cada persona con
acceso por computadora
Restringir el acceso fsico a los datos del
titular de tarjeta

Categoras y Requisitos.
Construir y mantener una red segura.
Proteger la informacin del titular de la
tarjeta.
Mantener un programa
vulnerabilidades.

de

manejo

de

Implementar medidas slidas de control de

acceso.
Monitorear
y
regularidad.

probar

las

redes

con

Quinta Categora.
Monitorear
y
regularidad.

probar

las

redes

con

Rastrear y monitorear todo el acceso a los

recursos de redes y datos del titular de la
tarjeta
Probar con regularidad los sistemas y
procesos de seguridad

Categoras y Requisitos.
Construir y mantener una red segura.
Proteger la informacin del titular de la
tarjeta.
Mantener un programa
vulnerabilidades.

de

manejo

de

Implementar medidas slidas de control de

acceso.
Monitorear
y
regularidad.

probar

las

redes

con

Sexta Categora.
Mantener un poltica de seguridad de la
informacin.
Mantener una poltica que enfatiza la
seguridad de la informacin

REQUERIMIENTOS

CERTIFICACIN.

Dicha certificacin le permite a

Credibanco ofrecer al mercado la
confianza que necesita alrededor
del manejo de la informacin de
los tarjetahabientes y ratifica el
compromiso de Credibanco en
brindar mayor seguridad a sus
clientes y usuarios en cuanto al
tratamiento que se le da a su
informacin de carcter
confidencial.

PCI DSS COMERCIOS

Beneficios para los Comercios

Promover la integridad del comercio y aumentar la confianza
de los consumidores en el negocio.
Incrementar las ventas como consecuencia del aumento en la
confianza de los consumidores.
Proteger al comercio de posibles prdidas de ingresos,
investigaciones no deseadas y costos legales.
Reducir el riesgo de atencin no deseada de la prensa como
resultado de un compromiso o fuga de informacin de
clientes.

Beneficios para los Comercios

Proyectar mayor conciencia de los controles y medidas
preventivas de seguridad disponibles para el comercio.
Reducir las disputas de Tarjetahabientes y costos asociados a
transacciones fraudulentas resultantes de un compromiso de
informacin.
Prevenir el robo masivo de informacin de clientes.
Facilitar la adopcin de estndares de seguridad vlidos a
nivel global.

Seguridad en Transacciones con PIN

La Norma PTS (previamente conocida como PCI PED) es un
elemento requerido dentro de un ambiente que cumpla con la
Norma DSS de la PCI para cualquier cajero automtico o
dispositivo de autoservicio no asistido.
Esta norma se encarga principalmente de las caractersticas
que afectan la seguridad del dispositivo de ingreso de PIN, o
Teclado Encriptador de PIN (EPP, por sus siglas en ingls)
utilizado por el titular de la tarjeta durante una transaccin
financiera.
Todos los cajeros automticos y dispositivos de autoservicio
deben estar equipados con un Teclado encriptador de PIN que
cumpla con los requisitos de la PCI.
Los requisitos tambin incluyen la gestin de los dispositivos
hasta el punto de la carga inicial de la clave, pero el proceso

Tipos de Estndares.

PLAN DO CHECK - ACT

Tipos de Estndares

Satisfac
er
Necesid
ades de
las
Partes
Separaci
n de la
gestin
de
gobierno

Habilitac
in de
un
enfoque

Cobertur
a de
extremo
a
extremo
de la
empresa

La
aplicaci
n de un
nico
marco
integrad
o