PCI DSS: qué es y qué debo hacer al respecto

PCI DSS: qué es y qué debo hacer al respecto.Hay muchas reglas y regulaciones que las empresas deben seguir cuando se trata de operar un centro de datos. Cualquier centro de datos que contenga equipos utilizados para el procesamiento de pagos debe asegurarse de que sean compatibles con PCI DSS .

Aprender lo que esto significa y cómo cumplir (y seguir siendo) es esencial. Ya sea que esté construyendo un nuevo centro de datos, actualizando un centro de datos existente para procesar pagos o simplemente queriendo mantener los estándares más altos, este artículo está aquí para proporcionar una introducción a este importante tema.

Tabla de contenidos

¿Qué es PCI?

El “PCI” en “PCI DSS” significa Industria de tarjetas de pago . Este nombre proviene en gran medida del enfoque de estos estándares en los centros de datos que admiten la industria de tarjetas de pago. Además, recibe este nombre porque estas normas fueron creadas conjuntamente por cuatro de las compañías de tarjetas de crédito más grandes del mundo: Visa, MasterCard, Discover y American Express.

Si bien los estándares que se detallan a continuación se hicieron específicamente para la industria de las tarjetas de pago, cualquier centro de datos puede beneficiarse de ellos. La industria de las tarjetas de pago requiere los más altos niveles de seguridad y estabilidad para atender a los clientes, por lo que estos estándares son tan prioritarios.

¿Qué es el DSS?

El “DSS” en “PCI DSS” significa Estándar de seguridad de datos . Si ha visto las noticias en los últimos años, es casi seguro que ha escuchado acerca de violaciones de datos que han afectado a las principales cadenas de hoteles, restaurantes e incluso agencias de informes de crédito. Estos tipos de infracciones ponen en riesgo los datos de millones de personas, lo que resulta en grandes pérdidas financieras e inconvenientes.

Las compañías de tarjetas de pago son un objetivo obvio de los piratas informáticos y otras empresas criminales. Esto se debe a los obvios intereses financieros que se pueden obtener, pero también a la gran cantidad de información que la industria de las tarjetas de pago recopila sobre sus clientes. Por esta razón, es absolutamente esencial que la seguridad de los datos sea una prioridad no solo para empresas como Visa y MasterCard, sino también para todos los centros de datos y otras instalaciones que los respaldan.

¿A quién se aplica PCI DSS?

PCI DSS se aplica a una amplia gama de entidades comerciales diferentes, desde pequeñas empresas hogareñas hasta grandes centros de datos. Las empresas más pequeñas que aceptan pagos con tarjetas de pago no tendrán que hacer demasiado para cumplir con PCI DSS. Sin embargo, los grandes minoristas y centros de datos deben dedicar mucho trabajo a este esfuerzo.

¿Qué es el cumplimiento de PCI DSS?

El estándar de seguridad de datos PCI se aplica a todas las instalaciones que alojan, transmiten o procesan información para la industria de las tarjetas de pago. Estas pautas se dan en diferentes niveles (nivel 1-4) dependiendo de una variedad de información. Esta información incluye el número y tipo de transacciones con tarjeta de crédito que se procesan en una instalación determinada. Cada una de las marcas (Visa, MasterCard, Discover, American Express, etc.) puede calificar una instalación en un nivel diferente en función de cómo se procesan sus transacciones en una ubicación determinada.

Las evaluaciones de las instalaciones por parte de cada compañía para determinar el nivel más alto es una parte importante para garantizar que cumpla con las normas. Cuanto menor sea el nivel, más estrictos serán los requisitos para mantener el cumplimiento de PCI DSS. Siga leyendo en la siguiente sección para ver los detalles de estas áreas específicas de cumplimiento.

¿Cuáles son los requisitos de PCI DSS?

PCI DSS se centra en seis objetivos principales, cada uno de los cuales existe para maximizar la seguridad de los datos que se encuentran dentro o que se transmiten a través de los centros de datos. Los siguientes son los seis objetivos:

Red segura : la red debe ser segura para garantizar que no solo esté a salvo del acceso no autorizado, sino también para garantizar que los sistemas estén en funcionamiento para los clientes 24/7/365.
Protección de la información del titular de la tarjeta: la información del titular de la tarjeta es quizás el activo más valioso dentro de un centro de datos, y debe haber esfuerzos para protegerla. Esto incluye agregar capas adicionales de protección a los sistemas que albergan esta información.
Protección del sistema contra piratas informáticos : los piratas informáticos son una amenaza importante para todos los centros de datos, por lo que todas las instalaciones que cumplen con PCI DSS deben tener un sistema de protección sólido. Esto incluye firewalls actualizados, antivirus, antispyware, antimalware y otras soluciones de seguridad.
Acceso restringido y controlado a la información del sistema: la información del sistema y los estándares operativos del centro de datos deben controlarse estrictamente. Mantener esta información confidencial ayudará a proteger la instalación contra el acceso físico o digital no autorizado.
Monitoreo y prueba de la red: la red y todos los equipos relacionados se deben monitorear y probar activamente a intervalos regulares para garantizar que todo funcione correctamente en todo momento.
Política de seguridad de la información formalizada: los centros de datos deben tener una política de seguridad de la información formal y escrita que se debe cumplir en todo momento. La política debe tener auditorías y sanciones en caso de incumplimiento.

Sanciones por infracciones

Si un centro de datos no cumple, las propias compañías de tarjetas de crédito emitirán las sanciones. Esto se debe a que hacen los niveles, así como PCI DSS no es una regulación legal o gubernamental. Sin embargo, estas empresas pueden imponer multas, negar el servicio al centro de datos y tomar otras medidas que causen dificultades financieras.

Cómo cumplir

Cualquier instalación que desee cumplir con PCI DSS debe seguir pasos importantes para lograr este objetivo. Lo primero que debe hacer es determinar qué nivel de comerciante tendrá su centro de datos. Para hacer esto, simplemente observe la cantidad de transacciones procesadas para cada tipo de tarjeta en los últimos 12 meses. Para Visa, un comerciante de nivel 4 es aquel que toma menos de 20,000 pagos de Visa por año. El nivel 1 es el nivel más alto, y eso es para los comerciantes que procesan más de 6 millones de transacciones de Visa por año.

Si está planeando un crecimiento futuro, puede ser una buena idea intentar cumplir con los requisitos para el siguiente nivel desde su posición actual. Una vez que tenga un plan, es hora de comenzar a implementar los cambios necesarios que le permitirán calificar.

A diferencia de muchos requisitos de cumplimiento, no existe un proceso de solicitud por el que deba pasar una empresa. En cambio, cualquier negocio que acepte o procese transacciones con tarjeta de pago se convertirá automáticamente en parte de este programa. Si una compañía de tarjetas, o un grupo de cumplimiento, encuentra que un negocio no cumple, es cuando se aplicarán las sanciones y otros problemas.

Leer también: Data Center Power Design e Infraestructura: lo que necesita saber;¿Qué es un meet me room o sala de encuentro en un data center? ; Los data centers o centros de datos autónomos han llegado para quedarse