PCI (industria de tarjetas de pago) Normas de seguridad de ...

1 PCI (industria de tarjetas de pago) Normas de seguridad de datos Requisitos y procedimientos de evaluaci n de seguridad Versi n Noviembre de 2013 Normas de seguridad de datos de la PCI (industria de tarjetas de pago), versi n P gina 2 2006-2013 PCI Security Standards Council, LLC. Todos los derechos reservados. Noviembre de 2013 Modificaciones realizadas a los documentos Fecha Versi n Descripci n P ginas Octubre de 2008 Introducir la versi n de las PCI DSS ( Normas de seguridad de datos de la industria de tarjetas de pago) como requisitos de las PCI DSS y procedimientos de evaluaci n de seguridad para eliminar la redundancia entre documentos e implementar cambios generales y espec ficos de los procedimientos de auditor a de seguridad de la versi n de las PCI DSS. Para obtener la informaci n completa, consulte el Resumen de cambios de la Normas de seguridad de datos de la PCI de las PCI DSS, versi n a Julio de 2009 Agregar la oraci n que se elimin incorrectamente entre las PCI DSS versi n y 5 Corregir then por than en los procedimientos de prueba y 32 Eliminar la marca gris para las columnas Implementado y No implementado en el procedimiento de prueba 33 Para la Hoja de trabajo de controles de compensaci n - Ejemplo completo, corregir la redacci n al principio de la p gina de modo que diga Utilizar esta hoja de trabajo para definir los controles de compensaci n para cualquier requisito indicado como implementado a trav s de los controles de compensaci n.

2 64 Octubre de 2010 Actualizar e implementar cambios de la versi n Consulte PCI DSS: Resumen de cambios de la versi n a de las PCI DSS. Noviembre de 2013 Actualizaci n de la versi n Consulte PCI DSS: Resumen de cambios de la versi n a de las PCI DSS. Normas de seguridad de datos de la PCI (industria de tarjetas de pago), versi n P gina 3 2006-2013 PCI Security Standards Council, LLC. Todos los derechos reservados. Noviembre de 2013 ndice Modificaciones realizadas a los documentos .. 2 Introducci n y descripci n general de las Normas de seguridad de datos de la PCI .. 5 Recursos de las PCI DSS .. 6 Informaci n sobre la aplicabilidad de las PCI DSS .. 7 Relaci n entre PCI DSS y PA-DSS .. 9 Aplicabilidad de las PCI DSS a las aplicaciones de las PA-DSS .. 9 Aplicabilidad de las PCI DSS a los proveedores de aplicaciones de pago .. 9 Alcance de los requisitos de las PCI DSS.

3 10 Segmentaci n de red .. 11 Medios inal mbricos .. 11 Uso de proveedores de servicios externos/tercerizaci n .. 12 Mejores pr cticas para implementar las PCI DSS en los procesos habituales .. 13 Para los asesores: Muestreo de instalaciones de la empresa/componentes del sistema .. 15 Controles de compensaci n .. 16 Instrucciones y contenido del informe sobre cumplimiento .. 17 Proceso de evaluaci n de las PCI DSS .. 17 Requisitos de las PCI DSS y procedimientos de evaluaci n de seguridad detallados .. 18 Desarrollar y mantener sistemas y redes seguros .. 19 Requisito 1: Instale y mantenga una configuraci n de firewalls para proteger los datos de los titulares de las tarjetas .. 19 Requisito 2: No utilizar contrase as de sistemas y otros par metros de seguridad provistos por los proveedores .. 28 Proteger los datos del titular de la 36 Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados.

4 36 Requisito 4: Cifrar la transmisi n de los datos del titular de la tarjeta en las redes p blicas abiertas.. 49 Mantener un programa de administraci n de vulnerabilidad .. 52 Requisito 5: Proteger todos los sistemas contra malware y actualizar los programas o software antivirus regularmente.. 52 Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras .. 56 Implementar medidas s lidas de control de acceso .. 71 Requisito 7: Restrinja el acceso a los datos del titular de la tarjeta seg n la necesidad de saber que tenga la empresa.. 71 Requisito 8: Identificar y autenticar el acceso a los componentes del sistema.. 74 Normas de seguridad de datos de la PCI (industria de tarjetas de pago), versi n P gina 4 2006-2013 PCI Security Standards Council, LLC. Todos los derechos reservados. Noviembre de 2013 Requisito 9: Restringir el acceso f sico a los datos del titular de la tarjeta.

5 85 Supervisar y evaluar las redes con regularidad .. 98 Requisito 10: Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas .. 98 Requisito 11: Pruebe con regularidad los sistemas y procesos de seguridad .. 107 Mantener una pol tica de seguridad de informaci n .. 117 Requisito 12: Mantener una pol tica que aborde la seguridad de la informaci n de todo el personal .. 117 Anexo A: Requisitos de las PCI DSS adicionales para proveedores de hosting compartido .. 128 Requisito : Los proveedores de hosting compartidos deben proteger el entorno de datos de titulares de 128 Anexo B: Controles de compensaci n .. 131 Anexo C: Hoja de trabajo de controles de compensaci n .. 133 Anexo D: Segmentaci n y muestreo de instalaciones de negocios/Componentes de sistemas .. 136 Normas de seguridad de datos de la PCI (industria de tarjetas de pago), versi n P gina 5 2006-2013 PCI Security Standards Council, LLC.

6 Todos los derechos reservados. Noviembre de 2013 Introducci n y descripci n general de las Normas de seguridad de datos de la PCI Las Normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS) se desarrollaron para fomentar y mejorar la seguridad de los datos del titular de la tarjeta y facilitar la adopci n de medidas de seguridad uniformes a nivel mundial. Las PCI DSS proporcionan una referencia de requisitos t cnicos y operativos desarrollados para proteger los datos de los titulares de tarjetas . Las PCI DSS se aplican a todas las entidades que participan en el procesamiento de tarjetas de pago, entre las que se incluyen comerciantes, procesadores, adquirientes, entidades emisoras y proveedores de servicios, como tambi n todas las dem s entidades que almacenan, procesan o transmiten CHD (datos del titular de la tarjeta) o SAD (datos de autenticaci n confidenciales).

7 "A continuaci n, encontrar una descripci n general de los 12 requisitos de las DSS de la PCI." Este documento, Requisitos de Normas de seguridad de datos de la PCI y procedimientos de evaluaci n de seguridad , combina los 12 requisitos de las PCI DSS y los procedimientos de prueba correspondientes en una herramienta de evaluaci n de seguridad . Se desarroll para utilizarse durante las evaluaciones de cumplimiento con las PCI DSS como parte del proceso de validaci n de una entidad. Las siguientes secciones Normas de seguridad de datos de la PCI (industria de tarjetas de pago), versi n P gina 6 2006-2013 PCI Security Standards Council, LLC. Todos los derechos reservados. Noviembre de 2013 proporcionan directrices detalladas y mejores pr cticas para ayudar a las entidades a estar preparadas para realizar una evaluaci n de las PCI DSS y comunicar los resultados. Los requisitos de las PCI DSS y los procedimientos de pruebas comienzan en la p gina 15.

8 Las PCI DSS constituyen un conjunto m nimo de requisitos para proteger los datos de titulares de tarjetas y se pueden mejorar por medio de controles y pr cticas adicionales a fin de mitigar otros riesgos y de leyes y regulaciones locales, regionales y sectoriales. Adem s, la legislaci n o las regulaciones pueden requerir la protecci n espec fica de la informaci n de identificaci n personal u otros elementos de datos (por ejemplo, el nombre del titular de la tarjeta). Las PCI DSS no sustituyen las leyes locales ni regionales, las regulaciones gubernamentales ni otros requisitos legales. Recursos de las PCI DSS El sitio web de PCI Security Standards Council (PCI SSC) ( ) contiene algunos recursos adicionales para ayudar a las organizaciones con las evaluaciones y validaciones de las PCI DSS, entre otros: Biblioteca de documentos, que incluye lo siguiente: o PCI DSS: Resumen de cambios de la versi n a de las PCI DSS o Gu a de referencia r pida de las PCI DSS o Glosario de t rminos, abreviaturas y acr nimos de las PCI DSS y PA-DSS o Suplementos informativos y directrices o Enfoque priorizado para las PCI DSS o ROC (Informe sobre cumplimiento), plantilla para crear informes e instrucciones para crear informes o SAQ (Cuestionarios de autoevaluaci n) e instrucciones y directrices del SAQ o AOC (Atestaci n de cumplimiento) Preguntas frecuentes (FAQ) PCI para los sitios web de peque os comerciantes Cursos de capacitaci n y webinars informativos sobre PCI Lista de QSA (asesores de seguridad certificados) y ASV (proveedores aprobados de escaneo).

9 Lista de dispositivos aprobados para la PTS ( seguridad de la transacci n con PIN) y aplicaciones de pagos validadas seg n las PA-DSS ( Normas de seguridad de datos para las aplicaciones de pago) Consulte para obtener m s informaci n sobre estos y otros recursos. Nota: Los suplementos informativos complementan las PCI DSS e identifican las consideraciones y recomendaciones adicionales para cumplir con los requisitos de las PCI DSS, las cuales no sustituyen, reemplazan ni extienden las PCI DSS ni ninguno de sus requisitos. Normas de seguridad de datos de la PCI (industria de tarjetas de pago), versi n P gina 7 2006-2013 PCI Security Standards Council, LLC. Todos los derechos reservados. Noviembre de 2013 Informaci n sobre la aplicabilidad de las PCI DSS Las PCI DSS se aplican a todas las entidades que participan en el procesamiento de tarjetas de pago, entre las que se incluyen comerciantes, procesadores, instituciones financieras y proveedores de servicios, as como tambi n todas las dem s entidades que almacenan, procesan o transmiten datos del titular de la tarjeta o datos de autenticaci n confidenciales.

10 Los datos del titular de la tarjeta y los datos de autenticaci n confidenciales se definen de la siguiente manera: Datos de cuentas Los datos de titulares de tarjetas incluyen: Los datos confidenciales de autenticaci n incluyen: N mero de cuenta principal (PAN) Nombre del titular de la tarjeta Fecha de vencimiento C digo de servicio Contenido completo de la pista (datos de la banda magn tica o datos equivalentes que est n en un chip) CAV2/CVC2/CVV2/CID PIN/Bloqueos de PIN El n mero de cuenta principal es el factor que define los datos del titular de la tarjeta. Si el nombre del titular de la tarjeta, el c digo de servicio o la fecha de vencimiento se almacenan, procesan o transmiten con el PAN (n mero de cuenta principal) o se encuentran presentes de alg n otro modo en el entorno de datos del titular de la tarjeta, se deben proteger de conformidad con los requisitos de las PCI DSS.