Solución Certes
Cumplimiento de PCI DSS
¿Qué es PCI DSS?
Desarrollado por los principales emisores de tarjetas de crédito, el Estándar de Seguridad de Datos de la Industria
de Métodos de Pago por Tarjeta (PCI DSS por sus siglas en Ingles: Payment Card Industry Data Security Standard)
describe las mejores prácticas de almacenamiento, procesamiento y transmisión de datos para las tarjeta de
crédito. Su propósito es proteger la información de la tarjeta de crédito de fraude, robo, o cualquier otra violación.
¿ Cuál es el impacto de la norma PCI DSS?
Cualquier proveedor minorista, comerciante, banco o servicio de almacenamiento, proceso o transmisor de
datos de los tarjeta-habientes debe cumplir con PCI DSS. La validación del cumplimiento se requiere para los
comerciantes más importantes y puede ser requerido para algunos comerciantes más pequeños. El no cumplir con
PCI DSS puede resultar en multas que son suficientemente graves como para ponerlo fuera del negocio.
¿Cuáles son los requisitos de PCI DSS?
Aquí están los doce requisitos específicos que se pueden agrupar en seis categorías principales, que los
minoristas deben tener para cumplir con PCI DSS:
• Construir y mantener una red segura:
1. Instalar y mantener una configuración de
cortafuegos para proteger los datos del tarjehabiente.
2. No utilizar valores por defecto suministrados por
el proveedor, para contraseñas de sistemas y otros
parámetros de seguridad.
• Proteger los datos del tarjeta-habiente:
3. Proteger los datos almacenados
4. Cifrar la transmisión de datos de los tarjetahabientes a través de redes públicas abiertas
• Implementar fuertes medidas de control de acceso:
7. Restringir el acceso a los datos de tarjeta-habientes
solo para lo que el negocio necesita saber.
8. Asignar una identificación única a cada persona con
acceso a computadora
9. Restringir el acceso físico a los datos de los tarjetahabientes
• Monitorear regularmente y probar las redes:
10.Rastrear y monitorear el acceso a los recursos de la
red e información de los tarjeta-habientes
11. Probar regularmente los sistemas y procesos de
seguridad
• Mantener un programa de gestión de
• Mantener una política de seguridad de la
vulnerabilidades:
información:
5. Usar y actualizar regularmente el software o
12. Mantener una política de seguridad de información
programas de antivirus
que alcance a todo el personal
6. Desarrollar y mantener seguros los sistemas y
aplicaciones
¿Cómo las empresas cumplen con PCI DSS?
Con el fin de cumplir con PCI DSS, las empresas deben cumplir con los 12 requisitos mencionados anteriormente.
Esencialmente, la protección de la información del tarjeta-habiente y la protección de la infraestructura de TI son
los dos principales puntos de PCI DSS.
Para proteger a la información del tarjeta-habiente las empresas deben proteger los datos dondequiera que vayan,
en particular cifrarlo sobre de redes públicas. Además del cifrado, las empresas deben poner en práctica controles
en la seguridad de TI, para proteger los datos del tarjeta-habiente de los hackers y otros criminales cibernéticos
que quieren robar la información. Para proteger la infraestructura de TI, los comerciantes deben proteger tanto a
los sistemas, como a las aplicaciones. Además, deben establecer procesos de control y directrices para asegurar
los equipos y otros dispositivos electrónicos.
¿Cómo Certes Networks le ayudan a cumplir con PCI DSS?
Nuestro enfoque de “negar todo el mundo, permitir por excepción” protege su red y sus datos.
El software de gerenciamiento TrustNet Manager permite transmisiones seguras de datos, lo que asegura la
confidencialidad, autenticidad y la integridad de los datos a medida que viajan a través de cualquier red, sin
importar el tamaño, tipo o topología. Nuestras soluciones le proporcionarán la autenticación y la encriptación de
todos los datos, incluyendo la información de los tarjeta-habientes. El TrustNet Manager también proporciona la
autenticación de los puntos terminales y los paquetes de datos. Actuando como un cortafuegos de seguridad
criptográfica rechaza cualquier paquete de datos que carece de la debida autenticación. El TrustNet garantiza que
el acceso a los datos esta limitado solo a aquellos que necesitan verlo. Al proteger su red y sus datos, le ayudamos
a cumplir con PCI DSS.
SN-PCI-SP-050812
Solution Note
Requisito PCI
Resolución
Como Certes Networks lo resuelve
El alcance de la
evaluación PCI
puede incluir la
red entera
Limitar el alcance del
Entorno de Datos
del Tarjeta-habiente
(CDE: Card-holder
Data Environment),
segmentando la red.
Aislar los sistemas que
almacenan, procesan
o transmiten datos del
tarjeta-habiente.
- Ayudamos a reducir el alcance y evitamos realizar grandes
cambios en la red. Nuestra solución se monta sobra la red
actual.
- Proveemos una fuerte criptografía para aislar el CDE del
resto de la red.
- Reducimos el alcance de la evaluación PCI rápidamente
al encriptar entre los segmentos de red que almacenan,
procesan o transmiten datos del tarjeta-habiente.
- Usted ahorra dinero en la evaluación inicial y futuras de PCI
al reducir el alcance de la evaluación.
- Hacemos que la encripción sea simple de implementar y
manejar. Con una interface gráfica y simple podrá aplicar las
políticas de encripción que permite que los encabezados IP
pasen transparentes mientras encripta los datos.
Certes Networks usa una fuerte criptografía y políticas
simples y flexibles para aislar las áreas de la red necesarias,
sin tener que cambiar la topología física o lógica de la
red. Los equipos de Certes Networks (CEP) se pueden
implementar rápidamente para proveer una capa sobrepuesta
de seguridad que aísla al CDE del resto de la red. Esta
protección es mas fuerte que en cortafuegos tradicionales
porque aísla la red usando encripción.
Además, se elimina la necesidad de rediseñar la red o
reemplazar aplicaciones legadas. El tráfico CDE puede ser
interconectado sobre su infraestructura de red actual con una
completa aislación criptográfica que deja afuera del alcance
al resto de la red.
4. Use criptografía
fuerte y
protocolos de
seguridad para
mantener segura
la información del
tarjeta-habiente
durante la
transmisión sobre
redes abiertas y
públicas
Encriptar los datos del
tarjeta-habiente sobre
cualquier red que esta
fuera de su control.
Esto incluye: Internet,
GSM, GPRS, MPLS,
VPLS y redes Ethernet
provistas y/o operadas
por terceras partes.
- Certes encripta los datos mientras pasan por Internet o
servicio provisto por terceras partes.
- Nuestra solución encaja perfectamente con la red existente
y las aplicaciones.
- Funciona con las redes existentes sin afectar el modo de
conmutación por falla, redundancias y balanceo de cargas.
10. Rastrear y
monitorear el
acceso a los
recursos de la
red e información
de los tarjetahabientes
Proporcionar registro y
auditoría para realizar
un seguimiento de las
actividades del usuario
- Completa pista de auditoria para registro y auditoría.
- Acceso basado en roles que permite a un rol “auditor”
vigilar la seguridad.
- Auditoría y monitoreo pueden ser fácilmente contratados a
un tercero.
Global Headquarters
300 Corporate Center Dr., Suite 140
Pittsburgh, PA 15108
Tel: +1 (888) 833-1142
Fax: +1 (412) 262-2574
www.CertesNetworks.com
Certes Networks puede de forma simple y rápida encriptar la
información del tarjeta-habiente y otra información sensitiva
sin afectar las aplicaciones y servicios que corren sobre la
red.
North America Sales
sales@certesnetworks.com
Asia-Pacific Sales
apac@certesnetworks.com
Government Sales
fedsales@certesnetworks.com
Central & Latin America Sales
cala@certesnetworks.com
Europe, Middle East and Africa Sales
emea@certesnetworks.com
SN-PCI-SP-050812