PDF de programación - Industria de Tarjetas de Pago (PCI) - Norma de seguridad de datos

Industria de Tarjetas de Pago (PCI)
Norma de seguridad de datos



Requisitos y procedimientos de evaluación de
seguridad
Versión 2.0
Octubre de 2010





Modificaciones realizadas a los documentos



Fecha Versión

Octubre

de
2008

1.2



5

32

33

64



Descripción

Páginas

Introducir las PCI DSS versión 1.2 como “Requisitos y procedimientos de evaluación de seguridad de las
PCI DSS”, con lo que se elimina la redundancia entre documentos, y hacer cambios tanto generales como
específicos de los Procedimientos de auditoría de seguridad de las PCI DSS versión 1.1. Para obtener la
información completa, consulte PCI Data Security Standard Summary of Changes from PCI DSS Version
1.1 to 1.2 (Resumen de cambios de las Normas de seguridad de los datos de la PCI de las PCI DSS
versión 1.1 a 1.2).

Agregar la oración que se eliminó incorrectamente entre las PCI DSS versión 1.1 y 1.2.

Corregir “then” por “than” en los procedimientos de prueba 6.3.7.a y 6.3.7.b.

Julio de

2009

1.2.1

Eliminar la marca gris para las columnas “Implementado” y “No implementado” en el procedimiento de
prueba 6.5.b.

Para la Hoja de trabajo de controles de compensación - Ejemplo completo, corregir la redacción al principio
de la página de modo que diga “Utilizar esta hoja de trabajo para definir los controles de compensación
para cualquier requisito indicado como ‘implementado’ a través de los controles de compensación”.

Octubre

de
2010



2.0

Actualizar e implementar cambios de la versión 1.2.1. Para obtener los detalles, consulte “PCI DSS -
Resumen de cambios de las PA-DSS versión 1.2.1 a 2.0.”

Requisitos de las PCI PA-DSS y procedimientos de evaluación de seguridad, versión 2.0
Copyright 2010, PCI Security Standards Council LLC

Octubre 2010
Página 2



Índice



Modificaciones realizadas a los documentos.................................................................................................................................. 2
Introducción y descripción general de las normas de seguridad de datos de la PCI................................................................... 5
Información sobre la aplicabilidad de las PCI DSS ......................................................................................................................... 8
Relación entre PCI DSS y PA-DSS.................................................................................................................................................. 10
Alcance de la evaluación del cumplimiento de los requisitos de las PCI DSS............................................................................ 11
Segmentación de red......................................................................................................................................................11
Medios inalámbricos .......................................................................................................................................................12
Terceros/tercerización ....................................................................................................................................................12
Muestreo de instalaciones de negocios/Componentes de sistemas...............................................................................13
Controles de compensación............................................................................................................................................14
Instrucciones y contenido del informe de cumplimiento.............................................................................................................. 15
Contenido y formato del informe .....................................................................................................................................15
Revalidación de puntos sujetos a control........................................................................................................................18
Pasos para completar el cumplimiento de las PCI DSS .................................................................................................19
Requisitos de las PCI DSS y procedimientos de evaluación de seguridad detallados............................................................... 20
Desarrollar y mantener una red segura ....................................................................................................................................... 21

Instale y mantenga una configuración de firewalls para proteger los datos de los titulares de las tarjetas
21

Requisito 1:

Requisito 2: No use contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores .........26
Proteger los datos del titular de la tarjeta.................................................................................................................................... 30
Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados ...........................................................30
Requisito 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas..........................38
Mantener un programa de administración de vulnerabilidad..................................................................................................... 40
Requisito 5: Utilice y actualice regularmente el software o los programas antivirus.....................................................40
Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras .........................................................................41
Implementar medidas sólidas de control de acceso................................................................................................................... 48
Requisito 7: Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber del negocio...........48
Requisito 8: Asignar una ID exclusiva a cada persona que tenga acceso por computadora .......................................50
Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta ...................................................................56
Supervisar y evaluar las redes con regularidad.......................................................................................................................... 61

Requisitos de las PCI PA-DSS y procedimientos de evaluación de seguridad, versión 2.0
Copyright 2010, PCI Security Standards Council LLC

Octubre 2010
Página 3





Requisito 10: Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas

……………………………………………………………………………………………………………………...61
Requisito 11: Pruebe con regularidad los sistemas y procesos de seguridad..............................................................66
Mantener una política de seguridad de información................................................................................................................... 71
Requisito 12: Mantenga una política que aborde la seguridad de la información para todo el personal.........................71
Requisitos de las PCI DSS adicionales para proveedores de hosting compartido........................................ 78
Controles de compensación .............................................................................................................................. 81
Hoja de trabajo de controles de compensación ............................................................................................... 83
Hoja de trabajo de controles de compensación – Ejemplo completo........................................................................................ 84
Segmentación y muestreo de instalaciones de negocios/Componentes de sistemas .................................. 85

Anexo A:
Anexo B:
Anexo C:

Anexo D:



Requisitos de las PCI PA-DSS y procedimientos de evaluación de seguridad, versión 2.0
Copyright 2010, PCI Security Standards Council LLC

Octubre 2010
Página 4





Introducción y descripción general de las normas de seguridad de datos de la PCI

Las Normas de Seguridad de Datos (DSS) de la Industria de Tarjetas de Pago (PCI) se desarrollaron para fomentar y mejorar la seguridad de los
datos del titular de la tarjeta y para facilitar la adopción de medidas de seguridad consistentes a nivel mundial. Las PCI DSS proporcionan una
referencia de requisitos técnicos y operativos desarrollados para proteger los datos de los titulares de tarjetas. Las PCI DSS se aplican a todas
las entidades que participan en los procesos de las tarjetas de pago, entre las que se incluyen comerciantes, procesadores, adquirentes,
entidades emisoras y proveedores de servicios, así como también todas las demás entidades que almacenan, procesan o transmiten datos de
titulares de tarjetas. Las PCI DSS constituyen un conjunto mínimo de requisitos para proteger datos de titulares de tarjetas y se pueden mejorar
con el uso de controles y prácticas adicionales para mitigar otros riesgos. A continuación, encontrará una descripción general de los 12 requisitos
de las PCI DSS.

Este documento, Requisitos de normas de seguridad de datos de la PCI y procedimientos de evaluación de seguridad, combina los 12 requisitos
de las PCI DSS y los procedimientos de prueba correspondientes en una herramienta de evaluación de seguridad. Se desarrolló para utilizarse
durante las evaluaciones de cumplimiento con las PCI DSS como parte del proceso de validación de una entidad. Las siguientes secciones



Requisitos de las PCI PA-DSS y procedimientos de evaluación de seguridad, versión 2.0
Copyright 2010, PCI Security Standards Council LLC

Octubre 2010
Página 5





proporcionan directrices detalladas y mejores prácticas para ayudar a las entidades a estar preparadas para realizar una evaluación de las PCI
DSS y comunicar los resultados. Lo