Transcription of PCI (industria de tarjetas de pago) Normas de seguridad de ...
1 PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluaci n de seguridad Versi n Noviembre de 2013 Normas de seguridad de datos de la PCI (industria de tarjetas de pago), versi n P gina 2 2006-2013 PCI Security Standards Council, LLC. Todos los derechos reservados. Noviembre de 2013 Modificaciones realizadas a los documentos Fecha Versi n Descripci n P ginas Octubre de 2008 Introducir la versi n de las PCI DSS ( Normas de seguridad de datos de la industria de tarjetas de pago) como requisitos de las PCI DSS y procedimientos de evaluaci n de seguridad para eliminar la redundancia entre documentos e implementar cambios generales y espec ficos de los procedimientos de auditor a de seguridad de la versi n de las PCI DSS.
2 Para obtener la informaci n completa, consulte el Resumen de cambios de la Normas de seguridad de datos de la PCI de las PCI DSS, versi n a Julio de 2009 Agregar la oraci n que se elimin incorrectamente entre las PCI DSS versi n y 5 Corregir then por than en los procedimientos de prueba y 32 Eliminar la marca gris para las columnas Implementado y No implementado en el procedimiento de prueba 33 Para la Hoja de trabajo de controles de compensaci n - Ejemplo completo, corregir la redacci n al principio de la p gina de modo que diga Utilizar esta hoja de trabajo para definir los controles de compensaci n para cualquier requisito indicado como implementado a trav s de los controles de compensaci n.
3 64 Octubre de 2010 Actualizar e implementar cambios de la versi n Consulte PCI DSS: Resumen de cambios de la versi n a de las PCI DSS. Noviembre de 2013 Actualizaci n de la versi n Consulte PCI DSS: Resumen de cambios de la versi n a de las PCI DSS. Normas de seguridad de datos de la PCI (industria de tarjetas de pago), versi n P gina 3 2006-2013 PCI Security Standards Council, LLC. Todos los derechos reservados. Noviembre de 2013 ndice Modificaciones realizadas a los documentos .. 2 Introducci n y descripci n general de las Normas de seguridad de datos de la PCI .. 5 Recursos de las PCI DSS .. 6 Informaci n sobre la aplicabilidad de las PCI DSS.
4 7 Relaci n entre PCI DSS y PA-DSS .. 9 Aplicabilidad de las PCI DSS a las aplicaciones de las PA-DSS .. 9 Aplicabilidad de las PCI DSS a los proveedores de aplicaciones de pago .. 9 Alcance de los requisitos de las PCI DSS .. 10 Segmentaci n de red .. 11 Medios inal mbricos .. 11 Uso de proveedores de servicios externos/tercerizaci n .. 12 Mejores pr cticas para implementar las PCI DSS en los procesos habituales .. 13 Para los asesores: Muestreo de instalaciones de la empresa/componentes del sistema .. 15 Controles de compensaci n .. 16 Instrucciones y contenido del informe sobre cumplimiento .. 17 Proceso de evaluaci n de las PCI DSS.
5 17 Requisitos de las PCI DSS y procedimientos de evaluaci n de seguridad detallados .. 18 Desarrollar y mantener sistemas y redes seguros .. 19 Requisito 1: Instale y mantenga una configuraci n de firewalls para proteger los datos de los titulares de las tarjetas .. 19 Requisito 2: No utilizar contrase as de sistemas y otros par metros de seguridad provistos por los proveedores .. 28 Proteger los datos del titular de la 36 Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados .. 36 Requisito 4: Cifrar la transmisi n de los datos del titular de la tarjeta en las redes p blicas abiertas.. 49 Mantener un programa de administraci n de vulnerabilidad.
6 52 Requisito 5: Proteger todos los sistemas contra malware y actualizar los programas o software antivirus regularmente.. 52 Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras .. 56 Implementar medidas s lidas de control de acceso .. 71 Requisito 7: Restrinja el acceso a los datos del titular de la tarjeta seg n la necesidad de saber que tenga la empresa.. 71 Requisito 8: Identificar y autenticar el acceso a los componentes del sistema.. 74 Normas de seguridad de datos de la PCI (industria de tarjetas de pago), versi n P gina 4 2006-2013 PCI Security Standards Council, LLC. Todos los derechos reservados. Noviembre de 2013 Requisito 9: Restringir el acceso f sico a los datos del titular de la tarjeta.
7 85 Supervisar y evaluar las redes con regularidad .. 98 Requisito 10: Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas .. 98 Requisito 11: Pruebe con regularidad los sistemas y procesos de seguridad .. 107 Mantener una pol tica de seguridad de informaci n .. 117 Requisito 12: Mantener una pol tica que aborde la seguridad de la informaci n de todo el personal .. 117 Anexo A: Requisitos de las PCI DSS adicionales para proveedores de hosting compartido .. 128 Requisito : Los proveedores de hosting compartidos deben proteger el entorno de datos de titulares de 128 Anexo B: Controles de compensaci n.
8 131 Anexo C: Hoja de trabajo de controles de compensaci n .. 133 Anexo D: Segmentaci n y muestreo de instalaciones de negocios/Componentes de sistemas .. 136 Normas de seguridad de datos de la PCI (industria de tarjetas de pago), versi n P gina 5 2006-2013 PCI Security Standards Council, LLC. Todos los derechos reservados. Noviembre de 2013 Introducci n y descripci n general de las Normas de seguridad de datos de la PCI Las Normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS) se desarrollaron para fomentar y mejorar la seguridad de los datos del titular de la tarjeta y facilitar la adopci n de medidas de seguridad uniformes a nivel mundial.
9 Las PCI DSS proporcionan una referencia de requisitos t cnicos y operativos desarrollados para proteger los datos de los titulares de tarjetas . Las PCI DSS se aplican a todas las entidades que participan en el procesamiento de tarjetas de pago, entre las que se incluyen comerciantes, procesadores, adquirientes, entidades emisoras y proveedores de servicios, como tambi n todas las dem s entidades que almacenan, procesan o transmiten CHD (datos del titular de la tarjeta) o SAD (datos de autenticaci n confidenciales). "A continuaci n, encontrar una descripci n general de los 12 requisitos de las DSS de la PCI." Este documento, Requisitos de Normas de seguridad de datos de la PCI y procedimientos de evaluaci n de seguridad , combina los 12 requisitos de las PCI DSS y los procedimientos de prueba correspondientes en una herramienta de evaluaci n de seguridad .
10 Se desarroll para utilizarse durante las evaluaciones de cumplimiento con las PCI DSS como parte del proceso de validaci n de una entidad. Las siguientes secciones Normas de seguridad de datos de la PCI (industria de tarjetas de pago), versi n P gina 6 2006-2013 PCI Security Standards Council, LLC. Todos los derechos reservados. Noviembre de 2013 proporcionan directrices detalladas y mejores pr cticas para ayudar a las entidades a estar preparadas para realizar una evaluaci n de las PCI DSS y comunicar los resultados. Los requisitos de las PCI DSS y los procedimientos de pruebas comienzan en la p gina 15. Las PCI DSS constituyen un conjunto m nimo de requisitos para proteger los datos de titulares de tarjetas y se pueden mejorar por medio de controles y pr cticas adicionales a fin de mitigar otros riesgos y de leyes y regulaciones locales, regionales y sectoriales.
