Cumplimiento del Sector de las Tarjetas de Pago (PCI)

GM Sectec acelerará su proceso de cumplimiento, protegiendo los datos sensibles y validando el ejercicio de cumplimiento de la PCI.

Su ventanilla única para la validación del cumplimiento de la PCI

Líder en servicios de consultoría y validación del cumplimiento de la PCI


Luchar con la jerga técnica y el complejo papeleo puede restarle horas al día pero el cumplimiento de las normas del sector de las tarjetas de pago (PCI) no tiene por qué ser un dolor de cabeza. Asociarse con GM Sectec hace que el proceso sea rápido y fácil, lo que permite a su equipo volver a servir a sus clientes y hacer crecer su negocio.

GM Sectec es el líder en servicios de consultoría y validación del cumplimiento de la PCI, con más experiencia que cualquier otro evaluador de seguridad cualificado en la gestión de evaluaciones complejas pequeñas, medianas y grandes. Hemos trabajado mano a mano con el Consejo de Normas de Seguridad de la PCI desde su creación y hoy somos una ventanilla única para el cumplimiento de la PCI.

Experiencia, metodología y tecnología


GM Sectec es una empresa evaluadora de seguridad cualificada (QSA-C) y cuenta con las siguientes acreditaciones:

  • Payment Application Data Security Standard (PA-DSS) assessor
  • Point-to-Point Encryption (P2PE) assessor
  • Qualified PIN Assessor (QPA)
  • Software Security Framework (SSF) assessor
  • Card Production Security Assessor (CPSA)
  • Approved Scanning Vendor (ASV)
  • PCI Forensic Investigator

Nuestra experiencia, metodología y tecnología le darán las herramientas para ir más allá de los requisitos básicos y construir un programa de cumplimiento que le ayudará a defenderse de los últimos ciberataques.


Certificaciones PCI de GM Sectec

¿Qué es el PCI-DSS?

El Estándar de Seguridad de Datos de la Industria de las Tarjetas de Pago (PCI DSS) se refiere a una combinación de requisitos que aseguran que todas las empresas que almacenan, procesan o transmiten información de tarjetas de crédito proporcionan un entorno seguro para los datos de sus clientes.

¿Pero qué es exactamente la PCI DSS? Puede sonar pesado, pero está compuesto por reglas y directrices útiles que mantienen a los vendedores y a sus clientes más seguros frente a los atacantes. Se introdujo por primera vez como normativa oficial el 7 de septiembre de 2006, como medida para mejorar la seguridad de las cuentas a través de todas las etapas de las transacciones con tarjetas de crédito.

La PCI DSS está gestionada por un cuerpo de funcionarios creado por American Express, Discover, JCB, Mastercard y Visa. Estas entidades asumen la responsabilidad de hacer cumplir la normativa.

Mejorar la seguridad de los datos de los sistemas de pago con tarjeta es la labor del PCI Security Standards Council, también conocido como SSC. Ponen a disposición normas y materiales que incorporan herramientas, medidas, marcos y recursos para apoyar a las organizaciones en su esfuerzo por mantener la seguridad de la información de los titulares de tarjetas. El consejo utiliza el PCI DSS como marco para crear procesos integrales de seguridad de las tarjetas de pago que permitan detectar, prevenir y responder a los problemas de seguridad.

La amenaza del fraude con tarjetas de crédito y el robo de información en el sector minorista mundial nunca ha sido tan frecuente. El cumplimiento de la PCI, la gobernanza y las prácticas de gestión de riesgos son imprescindibles para todas las organizaciones que interactúan con los datos de los titulares de tarjetas.

¿Qué es la seguridad del PIN PCI?


El Consejo de Normas de Seguridad de la PCI (Industria de las Tarjetas de Pago) ha definido un conjunto completo de requisitos y procedimientos de prueba para la gestión, el procesamiento y la transmisión segura de los datos del número de identificación personal (PIN) durante el procesamiento de transacciones de tarjetas de pago en línea y fuera de línea en cajeros automáticos y terminales de punto de venta atendidos y no atendidos. Estos requisitos de seguridad del PIN se basan en las normas del sector y proporcionan:
  • Los requisitos mínimos de seguridad para las transacciones de intercambio basadas en el PIN
  • Los requisitos mínimos aceptables para asegurar los PIN y las claves de cifrado
  • Garantía razonable para todos los participantes del sistema de pagos electrónicos al por menor que se adhieran a los requisitos de que el riesgo de que los PIN de los titulares de las tarjetas se vean comprometidos es mínimo

¿Qué es ASV?


Una ASV es una organización que cuenta con un conjunto de servicios y herramientas de seguridad ("solución de escaneado ASV") para llevar a cabo servicios de escaneado de vulnerabilidades externas con el fin de validar el cumplimiento de los requisitos de escaneado externo del requisito 11.2.2 del PCI DSS. La solución de escaneo ASV del proveedor de escaneo es probada y aprobada por el PCI SSC antes de que un ASV sea añadido a la Lista de Proveedores de Escaneo Aprobados del PCI SSC.

El PCI Security Standards Council mantiene un proceso estructurado para que los proveedores de soluciones de seguridad se conviertan en proveedores de escaneo aprobados (ASV), así como para que sean reaprobados cada año.

¿Qué es PCI 3DS?


Los evaluadores de 3DS están cualificados por el PCI SSC para realizar evaluaciones utilizando la norma de seguridad del núcleo de 3DS de la PCI (Requisitos de seguridad y procedimientos de evaluación para los componentes del núcleo de EMV® 3-D Secure: ACS, DS y 3DS Server). Los empleados del evaluador 3DS son personas que están empleadas por una empresa evaluadora 3DS y que han cumplido con todos los requisitos de calificación del evaluador 3DS aplicables a los empleados de las empresas evaluadoras 3DS que llevarán a cabo las evaluaciones 3DS, como se describe con más detalle en los requisitos de calificación para los evaluadores 3DS.

El Consejo de Normas de Seguridad de la PCI mantiene un programa exhaustivo para las empresas de seguridad que deseen certificarse como Evaluadores 3DS, así como para volver a certificarse como Evaluadores 3DS cada año.

¿Qué es PCI CPSA?


Las Empresas Evaluadoras de Seguridad en la Producción de Tarjetas (CPSA) son organizaciones de seguridad que han sido calificadas por el Consejo para validar la adhesión de una entidad a los Estándares de Seguridad Lógica y/o Física en la Producción de Tarjetas PCI. Los empleados de la CPSA son personas que están empleadas por una empresa CPSA y que han cumplido con todos los requisitos para realizar evaluaciones de seguridad de producción de tarjetas PCI, tal como se describe en los requisitos de calificación de la CPSA.

El Consejo de Normas de Seguridad de la PCI mantiene un programa de profundización para las empresas y sus empleados que buscan ser certificados como CPSA, o recertificados como CPSA cada año.

¿Qué es PCI P2PE™?


Las organizaciones cualificadas por el PCI SSC para validar soluciones P2PE y componentes P2PE en nombre de los proveedores P2PE se denominan empresas evaluadoras de seguridad cualificadas (empresas QSA (P2PE)); las organizaciones cualificadas por el PCI SSC para validar aplicaciones P2PE en nombre de los proveedores se denominan empresas evaluadoras de seguridad cualificadas de aplicaciones de pago P2PE (empresas PA-QSA (P2PE)). La calidad, la fiabilidad y la coherencia del trabajo de una empresa QSA (P2PE) y/o de una empresa PA-QSA (P2PE) proporcionan la confianza de que la solución P2PE, el componente P2PE y/o la aplicación P2PE han sido validados para el cumplimiento de P2PE

.

El Consejo de Normas de Seguridad de la PCI mantiene un programa exhaustivo para las empresas de seguridad que buscan ser certificadas como QSA (P2PE) y/o PA-QSA (P2PE)s, así como para ser recertificadas como QSA (P2PE) y/o PA-QSA (P2PE) cada año.

¿Qué es PCI SFF?


Las empresas evaluadoras del Marco de Seguridad del Software (SSF) son organizaciones de seguridad independientes que han sido calificadas por el Consejo de Normas de Seguridad de la PCI para validar el software de pago de un proveedor y/o para evaluar el ciclo de vida del software de un proveedor.

Los evaluadores de software seguro son empleados de una empresa evaluadora de SSF y han cumplido y siguen cumpliendo todos los requisitos aplicables para realizar evaluaciones de software seguro.

Los evaluadores del ciclo de vida del software seguro (SLC) son empleados de una empresa evaluadora de SSF y han satisfecho y siguen satisfaciendo todos los requisitos aplicables para realizar evaluaciones de SLC seguro.

El Consejo de Normas de Seguridad de la PCI mantiene un programa exhaustivo para las empresas y sus empleados que buscan certificarse como asesores de SSF, o recertificarse como asesores de SSF cada año.

¿Qué es PCI PA DSS?


Las empresas evaluadoras de seguridad cualificadas para aplicaciones de pago (PA-QSA) son organizaciones que han sido cualificadas por el PCI Security Standards Council para realizar evaluaciones PA-DSS a efectos del programa PA-DSS. Los empleados de PA-QSA son personas que están empleadas por una empresa PA-QSA y que han cumplido con todos los requisitos de calificación de PA-QSA aplicables a los empleados de las empresas PA-QSA que realizarán las evaluaciones de PA-DSS, como se describe con más detalle en los requisitos de calificación de PA-QSA.

El Consejo de Normas de Seguridad de la PCI mantiene un programa exhaustivo para las empresas de seguridad que buscan ser certificadas como Asesores de Seguridad Calificados para Aplicaciones de Pago (PA-QSA), así como para ser recertificados como PA-QSA cada año.

¿Qué es PCI Forensic Investigator?


Los investigadores forenses de la PCI (PFI) ayudan a determinar la ocurrencia de un compromiso de los datos del titular de la tarjeta y cuándo y cómo puede haber ocurrido. Estos investigadores forenses de la PCI están cualificados por el programa del Consejo y deben trabajar para una empresa evaluadora de seguridad cualificada que ofrezca una práctica de investigación forense dedicada. Realizan investigaciones en el sector financiero utilizando metodologías y herramientas de investigación probadas. También proporcionan relaciones con las fuerzas del orden para apoyar a las partes interesadas con cualquier investigación criminal resultante.

El Consejo de Estándares de Seguridad de la PCI mantiene un programa en profundidad para las empresas forenses que buscan ser certificadas como Investigadores Forenses de la PCI, y para ser recertificados como PFI cada año.

 

"Trabajando con GM Sectec, creemos que podemos ofrecer a nuestros clientes un camino simplificado para la habilitación de la Ciberseguridad y la validación del Cumplimiento PCI DSS"

.

Eduardo Pérez SVP & Regional Risk Officer Visa International