PCI / DSS - Bienvenido a Cámara Colombiana de Comercio ... · La adopción de la norma PCI le...

Información de Uso Interno elaborada por Credibanco. Divulgación limitada.

PCI / DSS

(Payment Card Industry - Data Security Standard)

Bogotá, Julio 9 de 2013

Estos materiales procuran efectuar una aproximación general hacia

los productos y/o servicios ofrecidos por Credibanco en su calidad

de administrador de un Sistema de Pagos en forma no detallada,

precisa o acorde con las necesidades de cada posible cliente ni con

las exigencias del entorno legal.

Los términos y condiciones de los negocios jurídicos sobre estas

mismas materias, de llegar a realizarse, pueden ser diferentes y/o

más específicos; en cualquier caso, quienes tengan acceso a estos

materiales, están llamados a dejar sin efecto cualquier mención o

afirmación que en el mismo se haga, sobre los alcances o

características del producto y/o del servicio, en razón a que aquí

no se expresa la voluntad de las partes propiamente dicha.

Quien acceda a este material, debe evaluar todo el contenido y

recomendaciones de acuerdo a sus necesidades, operaciones y

políticas específicas así como frente a las leyes y regulaciones

aplicables a su negocio.

La información contenida en esta presentación es de propiedad de

Credibanco y es confidencial por lo que está prohibida su

distribución o reproducción total o parcial, así como su traducción

a cualquier idioma.

Aviso legal


PCI Security Standards Council

• La norma PCI-DSS y sus documentos de

apoyo representan un conjunto de

herramientas y medidas comunes que se

utilizan en la industria de pagos, a fin

de ayudar a asegurar el manejo seguro de

la información confidencial.

• La norma entrega el marco para

desarrollar un proceso de seguridad de

datos de las cuentas que se procesan

transacciones, a fin de prevenir y

detectar incidentes de seguridad, para:

• Reducir el riesgo de compromiso de

información.

• Mitigar el impacto si llega a

ocurrir.


PCI Security Standards Council

• Es un foro global abierto para el

continuo desarrollo, mejora,

almacenamiento, divulgación e

implementación de normas de seguridad

para la protección de los datos de

tarjetahabiente.


Quienes Deben Cumplir

Procesadores

Proveedores de Servicio

Comercios

Software Vendors


Certificación PCI-DSS (Payment

Card Industry – Data Security Standard)

Credibanco cuenta con la certificación PCI-

DSS (Payment Card Industry – Data Security

Standard) desde el año 2007, la cual define

un conjunto de requerimientos mínimos,

enmarcados en políticas y procedimientos,

arquitectura de red, diseño de software y

todo tipo de medidas de protección que

intervienen en el procesamiento,

almacenamiento y transmisión de información

de tarjetahabientes.

Dicha certificación le permite a Credibanco

ofrecer al mercado la confianza que necesita

alrededor del manejo de la información de

los tarjetahabientes y ratifica el

compromiso de Credibanco en brindar mayor

seguridad a sus clientes y usuarios en

cuanto al tratamiento que se le da a su

información de carácter confidencial.

SOMOS LA PRIMERA EMPRESA DEL SECTOR EN

COLOMBIA CERTIFICADA BAJO ESTE ESTÁNDAR


PCI DSS Comercios

www.isaca.org.uy/.../6-presentaciones-cigras-2011?...27%3Apci-dss...

Tanto Visa como Mastercard han definido niveles de cumplimiento para los comercios, y en

función de este nivel exigen ciertos requerimientos de validación. Los comercios de nivel 4

deben consultar a las entidades financieras para conocer si deben cumplir los requerimientos

de validación.

Categoría Características de Comercio


Comercios Certificados PCI

en Colombia

http://www.incocredito.com.co

http://www.incocredito.com.co/


• Promover la integridad del comercio y aumentar la confianza de los

consumidores en el negocio.

• Incrementar las ventas como consecuencia del aumento en la confianza de

los consumidores.

• Proteger al comercio de posibles pérdidas de ingresos, investigaciones

no deseadas y costos legales.

• Reducir el riesgo de atención no deseada de la prensa como resultado de

un compromiso o fuga de información de clientes.

• Proyectar mayor conciencia de los controles y medidas preventivas de

seguridad disponibles para el comercio.

• Reducir las disputas de Tarjetahabientes y costos asociados a

transacciones fraudulentas resultantes de un compromiso de información.

• Prevenir el robo masivo de información de clientes.

• Facilitar la adopción de estándares de seguridad válidos a nivel global.

Beneficios - Comercios


La adopción de la norma PCI le permite a los comercios contar con los

siguientes beneficios:




Un comercio que tiene una plataforma transaccional

en AMBIENTE NO PRESENTE, debe: evaluar

constantemente el cumplimiento de las normas PCI-

DSS, para evitar violaciones y/o compromisos de

seguridad de las tarjetas de pago que procese por su

plataforma.

Los compromisos de información tienen

consecuencias de largo alcance:

Hacia el comercio notificaciones de las

franquicias, bancos adquirentes, redes

procesadoras y/o Estado; son notificaciones

reglamentarias que tienen costos altos para el

comercio.

ACCIONES de los Comercios





Los compromisos de información tienen

consecuencias de largo alcance:

Impacto en la reputación de la cadena de

los actores que procesan la autorización,

y que avalan o respaldan la operación de

un comercio.

Pérdida de clientes.

Obligaciones económicas – Multas,

sobrecostos, cierres de la operación,

auditorias, ..

Demandas y/o litigios






Qué genera el compromisos de información?

Mal manejo en el proceso de almacenamiento de

la información, si es necesario para algún

proceso posterior (pago recurrente), debe

estar debidamente encriptada.

Falta de control en los accesos. Una forma

inapropiada o inadecuada, permitirá que hacker

o individuos maliciosos penetren los sistemas

a través de conexiones remotas.

Configuraciones y contraseñas predeterminadas

y permanentes. (Nunca se han cambiado).






Qué genera el compromisos de información?

Aplicaciones WEB con códigos deficientes.

Parches no instalados.

Parches obsoletos.

Falta de supervisión, por medios revisión de

registros, detección/prevención de intrusión,

escaneos trimestrales.

Falta de segmentación de una red, que facilita

los accesos a los datos debido a

vulnerabilidades de la red.






Qué debe proveer un comercio de ambiente no presente

a sus clientes?

Que tiene, desarrolla y mantiene una red

segura.

Que no utiliza valores predeterminados, su

entorno se caracteriza por ser dinámico y seguro

frente a claves y contraseñas de accesos.

Qué garantiza la protección de los datos de los

titulares de las tarjetas que procesa por su

plataforma.

Cifra la información en la transmisión de los

datos en las redes públicas.

Utiliza antivirus y los actualiza con

regularidad.

Desarrolla y mantiene aplicaciones seguras

Restringe, controla y asegura la información de

los titulares de las cuentas, según la necesidad

de la empresa.





PCI / DSS - Bienvenido a Cámara Colombiana de Comercio ... · La adopción de la norma PCI le...

Documents

Transcript of PCI / DSS - Bienvenido a Cámara Colombiana de Comercio ... · La adopción de la norma PCI le...