PCI Data Security Standard (PCI DSS), es un estándar de seguridad que define el conjunto de requerimientos para gestionar la seguridad, definir políticas y procedimientos de seguridad, arquitectura de red, diseño de software y todo tipo de medidas de protección que intervienen en el tratamiento, procesado o almacenamiento de información de tarjetas de crédito. Su finalidad, la reducción del fraude relacionado con las tarjetas de pago e incrementar la seguridad de estos datos.
Internet Security Auditors, acreditado como QSA desde el año 2007, ayuda a todas aquellas organizaciones que requieren implementar, certificar y mantener un programa de cumplimiento de los requerimientos exigidos por PCI DSS.
PCI DSS es fruto del esfuerzo del PCI Security Standards Council (PCI SSC) formado por las principales compañías emisoras de tarjetas de pago (Visa, Mastercard, American Express, JCB y Discover), para forzar y facilitar a comercios, proveedores de servicios y bancos a reducir el riesgo de fraude con tarjetas de crédito, mediante la protección de las infraestructuras que procesan, transmiten o almacenan datos relativos a tarjetas de crédito.
Cualquier organización que participe en el procesamiento, transmisión o almacenamiento de información de tarjetas de pago queda afectada por el cumplimiento de los requerimientos que establece PCI DSS.
PCI DSS cataloga a estas organizaciones en comercios o merchants (super/hipermercados, autopistas, e-commerce, agencias de viajes, etc), proveedores de servicios o service providers (ISP/ASP, pasarelas de pago, fabricantes de tarjetas, servicios de envío de tarjetas, procesadores de transacciones, etc.) y entidades financieras o acquirers (bancos, cajas de ahorro, entidades de crédito, etc.).
Análisis del Cumplimiento y Plan de Acción
El primer paso para cumplir con los requerimientos de PCI DSS es realizar un análisis de la organización, identificar los puntos en la cadena de valor donde se transmite, procesa o almacena información de tarjetas de pago y definir el entorno que debe ser protegido para cumplir con PCI DSS.
Una vez identificado este entorno se deben evaluar los riesgos y definir el programa de cumplimiento que establece y mantiene las medidas de seguridad necesarias para poder cumplir con los 12 requerimientos definidos en el estándar.
Internet Security Auditors, con su servicio de consultoría de implantación tiene como objetivo proporcionar a las organizaciones todo el soporte necesario y guiarles en la definición y mantenimiento del programa de cumplimiento con PCI DSS.
Implantación de Requerimientos para la adecuación
La Implantación de Requerimientos para la Adecuación ejecuta el programa de cumplimiento a las NO conformidades detectadas en fases anteriores llevando acabo aquellas actividades consultoras y de asesoramiento en cualquier tarea que deba desarrollarse para la consecución del objetivo de cumplimiento con PCI DSS.
Auditoría de Certificación del Cumplimiento de PCI DSS
Internet Security Auditors está acreditada por el PCI SSC, a través de su certificado QSA, para realizar las auditorías anuales on-site a todas aquellas empresas que por su volumen de transacciones anual (varía en función de la marca de tarjetas de crédito) lo requieran, habiéndose convertido en la primera empresa española en obtener esta certificación por parte del PCI SSC. En el proceso de auditoría se verifica, mediante muestreo, que los requerimientos establecidos en PCI DSS se están cumpliendo. Y para todos aquellos puntos que no se cumplen se define el plan de acción para solventar las no conformidades.
Oficina Técnica de PCI DSS (OTP)
Tal como indica el PCI SCC en las “Mejores prácticas para implementar las PCI DSS en los procesos habituales” de la versión actual de la norma cumplir con PCI DSS no acaba con su implantación sino que implica una gestión continua del cumplimiento. Internet Security Auditors, mediante su propuesta de Oficina Técnica PCI DSS (OTP), pone a disposición de sus clientes un servicio para dar continuidad y garantizar el mantenimiento del cumplimiento de la normativa de una forma práctica y efectiva e integrada dentro de las operaciones tecnológicas y de seguridad.
Cuestionario de Autoevaluación (Self-Assessment Questionnaire)
Para todas aquellas empresas que no están obligadas a realizar auditorías on-site de forma anual, Internet Security Auditors proporciona un servicio de soporte para la elaboración del cuestionario de autoevaluación, llevando a cabo previamente una revisión del estado actual de cumplimiento de los requerimientos que PCI DSS establece.
Escaneos de Vulnerabilidades Trimestrales ASV
La ejecución de escaneos de vulnerabilidades externos trimestrales por parte de proveedores certificados como ASVs es uno de los requerimientos que establece PCI DSS en su apartado 11.2 con el objetivo de comprobar de forma regular la seguridad de los sistemas, procesos y aplicaciones de forma frecuente. Internet Security Auditors gracias a su gran experiencia en la realización de test de intrusión, ha superado las pruebas necesarias y obteniendo el certificado de ASV por el PCI SSC pudiendo realizar estos análisis de vulnerabilidades a todas aquellas empresas que lo requieren dentro de su programa de cumplimiento con PCI DSS.