SISTEMAS
Page tree

Versions Compared

Old Version 1

changes.mady.by.user Hugo Diaz

Saved on

compared with

New Version 2

changes.mady.by.user Hugo Diaz

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

El estándar PCI DSS cuenta con más de 250 controles de seguridad física, lógica y administrativa esquematizados en 6 grupos principales que a su vez se subdividen en 12 requerimientos, de la siguiente manera:

REQUISITOS Y CONTROLES DE PCI DSS V4.0

Entidades que requieren cumplimiento con el estándar

...

El criterio para identificar cuál de los dos métodos se debe emplear por lo general se basa en la cantidad de transacciones anuales con tarjetas de pago realizadas por la entidad. A continuación se analizan las diferencias entre el SAQ y la evaluación formal de cumplimiento:

TIPOLOGÍA DE REPORTES PARA DEMOSTRAR CUMPLIMIENTO CON EL ESTÁNDAR PCI DSS

La validez de estos reportes (AoC/RoC) es de 12 meses. Al final de este periodo, se requiere realizar una nueva evaluación y reportar el cumplimiento con base en las transacciones procesadas durante ese año.

...

  • Pertenecer a una empresa QSA (homologada por el PCI SSC para la realización de evaluaciones de PCI DSS).
  • Contar con varias certificaciones de seguridad reconocidas por la industria (CISSP, CISM, CISA, GSNA, ISO 27001 Lead Auditor, IRCA, ISMS, CIA)
  • Aceptar el código de responsabilidad profesional del PCI SSC
  • Recibir una formación anual en PCI DSS (la primera vez presencial y las siguientes veces online)
  • Reportar anualmente una serie de créditos de educación contínua (Continuing Professional Education – CPE)

Vale también aclarar que existe otra figura para la realización de evaluaciones de cumplimiento de PCI DSS denominada denominada Internal Security Assessor (ISA). Los profesionales ISA pueden realizar evaluaciones de PCI DSS exclusivamente a la organización a la que pertenecen.

Solo asesores QSA e ISA homologados pueden realizar evaluaciones de cumplimiento de PCI DSS.

¿Qué ocurre si no se cumple con PCI DSS?

...

  • Limitación por parte de las marcas de tarjetas de pago, bancos adquirientes o pasarelas de pago para procesar transacciones provenientes desde la entidad que no cumple con el estándar.
  • En el caso de la ocurrencia de un incidente de seguridad que afecte datos de tarjetas, la entidad que no cumple con el estándar debe asumir la totalidad de los costes derivados, incluyendo:
    • Costes de demandas e indemnizaciones a los afectados
    • Costes de los fraudes con transacciones realizadas con las tarjetas afectadas
    • Costes de renovación de las tarjetas de pago afectadas
    • Multas por parte de las marcas de pago, en función de la cantidad de datos de tarjetas de pago involucrados
    • Multas legales por afectación de datos de carácter personal (en casos específicos como GDPR/RGPD)
    • Costes de la investigación forense, a cargo de un profesional PCI Forensic Investigator (PFI)
    • Costes de la implementación de los controles de PCI DSS post-incidente
    • Costes derivados de la pérdida de imagen de cara al público

...