Entrust puede ayudar a simplificar el esfuerzo de auditoría y cumplimiento de PCI DSS

Requisitos de PCI DSS

Cualquier organización que desempeñe un rol en el procesamiento de pagos con tarjetas de crédito y de débito debe acatar los estrictos requisitos en materia de cumplimiento de PCI DSS, para el procesamiento, almacenamiento y transmisión de datos de cuentas.

Los HSM de Entrust nShield™ pueden ayudar a las organizaciones que trabajan con datos de titulares de tarjetas a cumplir con varios aspectos del cumplimiento y auditoría de PCI DSS, que incluyen:

icono de cubos azules

Requisito 3

Proteja los datos almacenados del titular de la tarjeta.

icono de candado de billetera verde

Requisito 7

Restrinja el acceso a los datos del titular de la tarjeta según las necesidades comerciales.

icono de ojo rosa

Requisito 8

Identificar y autenticar el acceso a los componentes del sistema.

    Reglamento

    Más de 200 pruebas contra seis principios básicos

    El estándar PCI DSS implica la evaluación de más de 200 pruebas que se dividen en 12 áreas de seguridad general que representan seis principios básicos. Estas pruebas de PCI DSS abarcan una amplia variedad de prácticas de seguridad comunes junto con tecnologías como cifrado, administración de claves y otras técnicas de protección de datos.

    Riesgos asociados con la auditoría y el cumplimiento de PCI DSS

    • El incumplimiento de los requisitos de cumplimiento de PCI DSS puede resultar en multas, aumento de tarifas o incluso la terminación de su capacidad para procesar transacciones con tarjeta de pago.
    • El cumplimiento de las PCI DSS no se puede considerar de forma aislada; las organizaciones están sujetas a múltiples mandatos de seguridad y leyes o regulaciones de divulgación de violaciones de datos. Por otro lado, los proyectos de cumplimiento de PCI pueden desviarse fácilmente mediante iniciativas de seguridad empresarial más amplias.
    • La orientación y las recomendaciones vinculadas a los requisitos de las PCI DSS incluyen prácticas comunes que probablemente ya se hayan implementado. Sin embargo, algunos aspectos, específicamente los asociados con el cifrado, pueden ser nuevos para la organización y las implementaciones pueden ser disruptivas y afectar negativamente la eficiencia operativa si no se diseñan correctamente.
    • Existen oportunidades para reducir el alcance de las obligaciones de cumplimiento de PCI DSS y, por lo tanto, reducir el costo y el impacto; sin embargo, las organizaciones pueden perder tiempo y dinero si no tienen cuidado para asegurarse de que los nuevos sistemas y procesos sean aceptados como compatibles con PCI DSS.

    Cumplimiento

    Abordar los requisitos clave de PCI DSS

    Basándose en décadas de experiencia ayudando a los bancos e instituciones financieras a cumplir con los mandatos de la industria, Entrust y sus socios ofrecen productos y servicios que le permiten proteger los datos almacenados de los titulares de tarjetas, cifrarlos para su transferencia y restringir el acceso según sea necesario.

    • Proteger los datos del titular de la tarjeta. Entrust trabaja con las principales soluciones de aceptación de pagos de dispositivos móviles (mPOS), así como con las principales soluciones de protección de datos de pagos para proteger los datos de los titulares de tarjetas y ayudar a garantizar el cumplimiento de PCI DSS. Las organizaciones comerciales también necesitan implementar cifrado de red y cifrado SSL/TLS para proteger los datos en tránsito.
    • Implementar fuertes medidas de control de acceso Todas las técnicas de protección de datos van de la mano con los controles de acceso. Tecnologías criptográficas como PKI y certificados digitales se utilizan ampliamente para ir más allá de la seguridad de nivel de contraseña para autenticar usuarios y sistemas. Además, el uso de los HSM de Entrust nShield para controlar el acceso a las claves de descifrado de datos significa que los datos sólo se pueden descifrar si es necesario.
    • Construir y mantener una red segura Además del cifrado a nivel de red, un componente esencial de la seguridad de la red es la autenticación sólida de los dispositivos de red; credenciales digitales se emplean cada vez más a nivel de dispositivo para controlar el acceso a la red y son una consideración de seguridad importante para una PKI corporativa.
    • Mantener un programa de gestión de vulnerabilidades. El aumento de los ataques persistentes avanzados que intentan corromper las aplicaciones comerciales mediante la introducción de malware ha traído el uso de firmas digitales y firma de código en foco como una forma de demostrar la integridad y autenticidad de los sistemas comerciales y el software de aplicación.
    • Mantener una política de seguridad de la información PCI DSS pone gran énfasis en establecer una clara separación de funciones entre los miembros del personal para minimizar el riesgo de ataques internos. El uso de la criptografía proporciona un mecanismo poderoso para hacer cumplir esta separación y para crear un registro confiable de eventos para demostrar el cumplimiento.

    Recursos

    Folletos: Folleto de la familia de los HSM de Entrust nShield

    Los módulos de seguridad de hardware (HSM) de nShield proporcionan un entorno reforzado y a prueba de manipulaciones indebidas para el procesamiento criptográfico seguro, la generación y protección de claves, el cifrado y mucho más. Disponibles en tres factores de forma certificados FIPS 140-2, los HSM de Entrust nShield admiten una variedad de escenarios de implementación.

    Soluciones relacionadas

    Productos relacionados

    Chatea ahora