Gestión de la conformidad con PCI DSS

December 02, 2024 | 9 minutes read
Gestión de la conformidad con PCI DSS

¿Qué es PCI DSS?

Hoy en día, casi todas las empresas aceptan pagos con tarjetas de crédito. Es tan habitual que muchos estadounidenses están adquiriendo el hábito de no llevar mucho dinero en efectivo encima. Si quiere estar a la altura de su competencia, tiene que aceptar la misma facilidad de moneda.

Cuando se registre para empezar a aceptar pagos, ¿a qué se refieren cuando mencionan el cumplimiento de la norma PCI DSS? ¿Es aplicable a su empresa? PCI DSS son las siglas de Payment Card Industry Data Security Standards (Normas de Seguridad de Datos del Sector de Tarjetas de Pago), que son normas y reglas que incluyen políticas operativas que las empresas deben seguir para asegurar y proteger los datos de las tarjetas de crédito de sus clientes. ¿Le afecta a usted? Si acepta tarjetas de crédito, sí.

¿Quién debe cumplir?

Todos los propietarios de empresas que manejen datos de crédito de clientes deben cumplirlas. Estas normas son importantes para todos los comerciantes que manejan información de tarjetas de crédito. Son políticas y procedimientos importantes que no sólo protegen a sus consumidores, sino también a su negocio y, en cierto sentido, son utilizados por otros comerciantes para proteger también su negocio y su cartera.

Mantener los negocios siguiendo las mismas normas ayuda a mantener a todos un poco más seguros. No es ningún secreto que existen diversas formas de acceder a la información crediticia o la identidad personal de una persona y hacer un uso indebido de ellas. Cuando un cliente confía en usted para manejar sus datos, le está confiando que maneje esa información con cuidado. La PCI DSS es una forma de mantener a todo el mundo en la misma línea.

Para que entienda cómo cumplir la normativa, es bueno que conozca qué son las normas PCI DSS y cuáles le afectan directamente a usted y a su empresa. La PCI puede desglosarse en componentes que le ayudarán a comprenderlas y a alcanzar niveles federales de cumplimiento. Los elementos de la PCI pueden dividirse en 6 requisitos principales, 12 elementos esenciales y 78 disposiciones fundamentales. También incluye más de 400 métodos de prueba. Dividido de este modo, abordar el cumplimiento de la PCI puede compartimentarse y aprenderse fácilmente para incorporarlo a los procedimientos y prácticas empresariales cotidianos. La primera clave sería gestionar los 6 requisitos principales:

Dividir el cumplimiento de PCI en tareas fácilmente estructuradas hace que sea mucho más fácil de manejar. Muchas empresas destinan una gran parte de sus gastos en cumplimiento de la normativa sobre privacidad y datos al cumplimiento de la norma PCI DSS. No tiene por qué suponer un quebranto para ninguna empresa. Hay formas de estar completamente seguro, proteger sus datos y los de sus consumidores sin arruinarse. Repase los 6 componentes principales del cumplimiento de la normativa PCI para ver si su empresa va por buen camino.

Seguridad

A la hora de enfrentarse al cumplimiento y la seguridad de la norma PCI DSS por primera vez o incluso para reforzar las medidas de seguridad actuales, el Consejo de la PCI publicó el Enfoque priorizado de la norma PCI DSS para la norma PCI DSS 3.2.1 (Enfoque priorizado o Enfoque), que es una herramienta útil a la que pueden recurrir tanto los propietarios de pequeñas empresas como las grandes corporaciones.

Protección de datos

Mantener un sistema seguro es una parte vital del cumplimiento de las normas PCI DSS. El primero de los seis requisitos principales de la PCI que debe cumplir es crear y mantener una red y un sistema seguros. De los 12 elementos esenciales, desglosa aún más estas normas. Los cuatro primeros elementos se refieren a la seguridad de las redes y los sistemas y a la protección de los datos de los titulares de tarjetas. Son los siguientes:

  1. Como comerciante, está obligado a instalar y mantener su red y sistemas. Instale cortafuegos y conserve los datos de los titulares de tarjetas con actualizaciones continuas.
  2. Cambie sus contraseñas. No utilice contraseñas suministradas por el proveedor ni otras predeterminadas para la seguridad del sistema.
  3. Debe proteger los datos de los titulares de tarjetas. Esto puede ser engañoso y añadir costes indebidos a sus gastos de seguridad. Según el PCI Security Standards Council, este requisito sólo se le aplica si almacena los datos del titular de la tarjeta. De hecho, los comerciantes que evitan el almacenamiento de los datos de las tarjetas, proporcionan automáticamente la mejor protección a los consumidores. Al no almacenar los datos de la tarjeta, como comerciante, ha eliminado un objetivo para los ladrones.
  4. Cuando envíe datos de titulares de tarjetas a través de redes externas, cifre todas las transmisiones. El uso de la tecnología de cifrado es la forma más completa hoy en día de transmitir datos y protegerlos de miradas indiscretas.

Retención de datos y vulnerabilidad

Si tiene intención de conservar datos, es muy inteligente utilizar un sistema inteligente de redacción de datos para redactar toda la información de identificación personal innecesaria inmediatamente después de la transacción. Conservar sólo la información necesaria ayuda a reducir el riesgo tanto para el consumidor como para su empresa. Según las normas PCI, es esencial mantener un programa de gestión de la vulnerabilidad. De hecho, a medida que se avanza en la lista de los 12 elementos esenciales, los protocolos 5 y 6 cubren la vulnerabilidad.

  1. Como comerciante, debe actualizar periódicamente sus programas de software antivirus y proteger continuamente todos los sistemas contra el malware.
  2. Establezca sistemas y aplicaciones seguros en toda su empresa. Proteja estos sistemas y aplicaciones con políticas y procedimientos de mantenimiento continuo.

Supervisión del acceso

La supervisión del acceso forma parte de los 6 requisitos principales y, como comerciante, ser capaz de aplicar medidas sólidas de control de acceso se desglosa en segmentos de comprensión manejables en los 12 elementos esenciales.

  1. Controle el acceso creando restricciones o barreras a los datos de los titulares de tarjetas. Mantenga estos datos prioritarios de los clientes únicamente en función de la necesidad de conocerlos.
  2. Establezca un rastro de identidad de las personas que tienen contacto con los datos. Utilice métodos de autenticación para impedir el acceso injustificado.
  3. Utilice barreras físicas para mantener los datos de las tarjetas alejados de quienes no necesiten acceder a los datos financieros de los consumidores.

Supervisión y pruebas

Es importante saber que su sistema funciona y se mantiene seguro de forma continua. Si se descuida la supervisión o las pruebas periódicas de los procedimientos de tratamiento de datos, se producirán vulnerabilidades. La vulnerabilidad conduce a la pérdida de datos y a la violación de la ley de privacidad. Los elementos esenciales 10 y 11 de las normas PCI DSS cubren este ámbito.

  1. Seguir y supervisar todos los accesos tanto a las redes como a cualquier manipulación de datos de tarjetas de consumidores.
  2. Establecer calendarios de pruebas periódicas para comprobar el estado de todos los sistemas, políticas y protocolos de tratamiento de datos.

Documentación

Crear políticas escritas para sus procesos de datos, políticas de tratamiento de datos y procedimientos de revisión no sólo es beneficioso para usted como comerciante, o para su empresa, sino que también es valioso para sus empleados. Disponer de una política escrita que todos los empleados puedan leer y consultar está contemplado en el último elemento de las normas PCI. Para mayor seguridad, la documentación puede incluir acuerdos de confidencialidad con los empleados que manejan los datos y la administración.

  1. Tenga a mano una política escrita actualizada para que todo el personal desarrolle líneas claras a seguir para el manejo de la seguridad de la información.

Destrucción de datos

Aunque los comerciantes pueden conservar ciertos datos durante un tiempo determinado, en función de sus necesidades o de los requisitos legales, ¿qué ocurre cuando los datos ya no son necesarios? ¿Se borran? No. La eliminación deja los datos ocultos en su sistema y un buen viaje de pesca de datos por parte de un actor de sombrero negro encontrará lo que está buscando. La redacción es el método preferido, ya que elimina los datos por completo. El uso de un sistema de software de redacción de calidad puede centrarse en información específica de sus datos, como números de teléfono, códigos postales e incluso datos de tarjetas de crédito, y eliminarlos por completo de su sistema. Encontrar un sistema de redacción de diseño inteligente con aprendizaje automático integral, IA y automatización localizará y eliminará los datos de una variedad de fuentes. Esto puede incluir documentos, vídeos e incluso archivos de voz. La destrucción de datos mediante redacción es la única forma de estar absolutamente seguro de que los datos se han borrado.

Reducción de los costes de la empresa

CaseGuard provee software de redacción de calidad que cuando es usado junto con políticas de privacidad cuidadosamente planeadas y desarrolladas y procedimientos de manejo de datos pueden reducir los costos para una compañía cuando se trata del cumplimiento de PCI DSS. CaseGuard también ayuda a reducir los costes de la empresa en muchas otras áreas.

El número de funciones incluidas junto con las capacidades de redacción pueden utilizarse de diversas formas e incorporarse a las necesidades de su empresa. El software puede proporcionar subtítulos automáticos en sistemas de videovigilancia y traducir varios idiomas a partir de archivos de vídeo y audio. Puede utilizar IA para automatizar sus necesidades de transcripción. Todo para que su empresa cumpla una serie de normativas federales con una sola aplicación de software.

Alcanzar los objetivos de cumplimiento

Desglosar la PCI DSS en segmentos y elementos facilita su comprensión y el cumplimiento de sus normas. Hay empresas que están gastando fortunas para mantener sus datos seguros cuando podrían ahorrar costes drásticamente implementando su propia redacción interna a través de un sistema de software de redacción inteligente como CaseGuard. Ahorra dinero en la necesidad de contratar servicios externos, en la gestión de las violaciones de datos y en la protección de su empresa frente a violaciones de la privacidad que podrían dar lugar a largas batallas judiciales, elevadas sanciones y pérdida de la confianza de los consumidores. Usted, como comerciante, puede respirar un poco más tranquilo por la noche, sabiendo que existe un paquete de software que puede ayudar a su empresa a tener éxito.

Related Reads

Medical First Responders Face Extreme Dangers to Save Lives
December 03, 2024 | 8 minutes read
Los socorristas se enfrentan a peligros para salvar vidas

Agradecer al personal médico es clave. Un “gracias” puede significar mucho para quienes están en la primera línea.

Conozca Más »
caseguard-smart-video-surveillance-and-privacy-in-recreational-and-public-spaces
December 03, 2024 | 9 minutes read
Videovigilancia inteligente, privacidad en espacios públicos

Los beneficios de las cámaras públicas deben equilibrarse con los riesgos. La primera pregunta es si su presencia en espacios públicos invade la intimidad.

Conozca Más »
caseguard-live-streaming-privacy-middle-coronavirus-outbreak
December 03, 2024 | 11 minutes read
Privacidad de la retransmisión durante el coronavirus

La privacidad es gestionar la información personal. Información confidencial, como rostros de menores, debe eliminarse con software de redacción.

Conozca Más »
caseguard-hair-analysis-science-or-objective-opinion
December 03, 2024 | 10 minutes read
Análisis capilar: ciencia u opinión objetiva

Como investigador, es clave reunir pruebas como pelos para resolver el crimen. Los análisis capilares pueden ser útiles, pero no deben ser la única prueba.

Conozca Más »
caseguard-bite-marks-objective-opinion-junk-science
December 03, 2024 | 12 minutes read
Mordiscos | Opinión objetiva y ciencia basura

La coincidencia de ADN es científica y objetiva, mientras que la de mordedura depende de comparaciones visuales y juicios humanos.

Conozca Más »
caseguard-patient-privacy-document-redaction-medical-contexts
December 03, 2024 | 9 minutes read
La intimidad del paciente y redacción de documentos médicos

Conozca cómo funciona la redacción en el ámbito médico, las ventajas de la HIPAA y cómo proteger su privacidad con el mejor software de redacción.

Conozca Más »