Auditoría y Cumplimiento para el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS)

Más de 200 pruebas en contra de seis principios básicos

El estándar PCI DSS (www.pcisecuritystandards.org) implica la evaluación de más de 200 pruebas que se dividen en 12 áreas de seguridad general que representan seis principios básicos. Estas pruebas del PCI DSS abarcan una amplia variedad de prácticas de seguridad comunes, junto con tecnologías tales como el cifrado, la administración de claves y otras técnicas de protección de datos.

Riesgos asociados con la auditoría y el cumplimiento del PCI DSS

• El incumplimiento de los requisitos del PCI DSS puede resultar en multas, el aumento de tarifas o incluso la terminación de su capacidad para procesar transacciones con tarjetas de pago.
• El cumplimiento del PCI DSS no se puede considerar de forma aislada: las organizaciones se encuentran sujetas a múltiples mandatos en materia de seguridad y leyes o regulaciones de divulgación de brechas de datos. Por otro lado, los proyectos para el cumplimiento del PCI se pueden desviar fácilmente mediante iniciativas de seguridad empresarial más amplias.
• La orientación y las recomendaciones vinculadas a los requisitos del PCI DSS incluyen prácticas comunes que probablemente ya se hayan implementado. Sin embargo, algunos aspectos, específicamente los asociados con el cifrado, pueden ser nuevos para la organización y las implementaciones pueden ser disruptivas y afectar negativamente la eficiencia operativa si no se diseñan correctamente.
• Es demasiado fácil terminar siendo dueños de un enfoque fragmentado en seguridad basado en múltiples soluciones de proveedores propietarios y tecnologías inadecuadas que son costosas y complejas de operar.
• Existen oportunidades para reducir el alcance de las obligaciones para el cumplimiento del PCI DSS y, por lo tanto, reducir el costo y el impacto. Sin embargo, las organizaciones pueden perder tiempo y dinero si no tienen cuidado de asegurarse de que los nuevos sistemas y procesos sean aceptados como compatibles con el PCI DSS.

Una solución integrada para el cumplimiento

Basándose en décadas de experiencia en ayudar a los bancos e instituciones financieras a cumplir con los mandatos de la industria, Thales ofrece productos y servicios integrados que le permiten a su organización proteger los datos almacenados de los titulares de tarjetas, cifrarlos para su transferencia y restringir el acceso según sea necesario. Además, Thales trabaja en estrecha colaboración con socios para ofrecer soluciones integrales que pueden reducir el alcance de su carga de cumplimiento del PCI DSS.

Abordar los principios básicos del PCI DSS

Thales ofrece soluciones integrales de software de cumplimiento del PCI DSS que le ayudan a las organizaciones a abordar los seis principios básicos del PCI DSS:

• Proteger los datos del titular de la tarjeta en reposo: El administrador de Thales CipherTrust Manager junto con los Módulos de Seguridad de Hardware Luna HSMs permiten que las organizaciones administren de forma centralizada las claves de cifrado y ofrezcan una variedad de soluciones de cifrado, tokenización y enmascaramiento de datos para proteger los datos de los titulares de tarjetas en archivos, carpetas, aplicaciones y bases de datos, tanto en entornos tradicionales como en la nube o virtualizados.
• Cifrar los datos del titular de la tarjeta en movimiento: Los Cifradores de alta velocidad (HSE) de Thales cifran todos los datos que atraviesan redes abiertas entre dispositivos de punto de venta y sistemas que procesan datos de titulares de tarjetas.
• Desarrollar y mantener sistemas y aplicaciones seguros: Los HSMs Luna de Thales les permiten a las organizaciones almacenar de forma segura material de firma en un dispositivo de hardware confiable, lo que garantiza la autenticidad e integridad de cualquier archivo de código de aplicación.
• Implementar fuertes medidas de control de acceso: Los productos CipherTrust Thales se pueden configurar para un acceso administrativo único y de múltples factores a los sistemas que almacenan datos de titulares de tarjetas. Adicionalmente, SafeNet Trusted Access le permite administrar de forma centralizada identidades de usuario únicas, políticas de autenticación basadas en riesgos y agregar o revocar el acceso a los sistemas en su entorno de datos de titulares de tarjetas (CDE).
• Rastree y controle todo el acceso a los datos del titular de la tarjeta:Todos los productos de la cartera de protección de datos de Thales CipherTrust producen registros de auditoría que registran las operaciones del ciclo de vida de la clave de cifrado (creación/eliminación/rotación/revocación) y otras funciones administrativas que se pueden utilizar para reconstruir eventos.