PCI / DSS - Bienvenido a Cámara Colombiana de Comercio ... · La adopción de la norma PCI le...
Transcript of PCI / DSS - Bienvenido a Cámara Colombiana de Comercio ... · La adopción de la norma PCI le...
Información de Uso Interno elaborada por Credibanco. Divulgación limitada.
PCI / DSS
(Payment Card Industry - Data Security Standard)
Bogotá, Julio 9 de 2013
Estos materiales procuran efectuar una aproximación general hacia
los productos y/o servicios ofrecidos por Credibanco en su calidad
de administrador de un Sistema de Pagos en forma no detallada,
precisa o acorde con las necesidades de cada posible cliente ni con
las exigencias del entorno legal.
Los términos y condiciones de los negocios jurídicos sobre estas
mismas materias, de llegar a realizarse, pueden ser diferentes y/o
más específicos; en cualquier caso, quienes tengan acceso a estos
materiales, están llamados a dejar sin efecto cualquier mención o
afirmación que en el mismo se haga, sobre los alcances o
características del producto y/o del servicio, en razón a que aquí
no se expresa la voluntad de las partes propiamente dicha.
Quien acceda a este material, debe evaluar todo el contenido y
recomendaciones de acuerdo a sus necesidades, operaciones y
políticas específicas así como frente a las leyes y regulaciones
aplicables a su negocio.
La información contenida en esta presentación es de propiedad de
Credibanco y es confidencial por lo que está prohibida su
distribución o reproducción total o parcial, así como su traducción
a cualquier idioma.
Aviso legal
Información de Uso Interno elaborada por Credibanco. Divulgación limitada.
PCI Security Standards Council
• La norma PCI-DSS y sus documentos de
apoyo representan un conjunto de
herramientas y medidas comunes que se
utilizan en la industria de pagos, a fin
de ayudar a asegurar el manejo seguro de
la información confidencial.
• La norma entrega el marco para
desarrollar un proceso de seguridad de
datos de las cuentas que se procesan
transacciones, a fin de prevenir y
detectar incidentes de seguridad, para:
• Reducir el riesgo de compromiso de
información.
• Mitigar el impacto si llega a
ocurrir.
Información de Uso Interno elaborada por Credibanco. Divulgación limitada.
PCI Security Standards Council
• Es un foro global abierto para el
continuo desarrollo, mejora,
almacenamiento, divulgación e
implementación de normas de seguridad
para la protección de los datos de
tarjetahabiente.
Información de Uso Interno elaborada por Credibanco. Divulgación limitada.
Quienes Deben Cumplir
Procesadores
Proveedores de Servicio
Comercios
Software Vendors
Información de Uso Interno elaborada por Credibanco. Divulgación limitada.
Certificación PCI-DSS (Payment
Card Industry – Data Security Standard)
Credibanco cuenta con la certificación PCI-
DSS (Payment Card Industry – Data Security
Standard) desde el año 2007, la cual define
un conjunto de requerimientos mínimos,
enmarcados en políticas y procedimientos,
arquitectura de red, diseño de software y
todo tipo de medidas de protección que
intervienen en el procesamiento,
almacenamiento y transmisión de información
de tarjetahabientes.
Dicha certificación le permite a Credibanco
ofrecer al mercado la confianza que necesita
alrededor del manejo de la información de
los tarjetahabientes y ratifica el
compromiso de Credibanco en brindar mayor
seguridad a sus clientes y usuarios en
cuanto al tratamiento que se le da a su
información de carácter confidencial.
SOMOS LA PRIMERA EMPRESA DEL SECTOR EN
COLOMBIA CERTIFICADA BAJO ESTE ESTÁNDAR
Información de Uso Interno elaborada por Credibanco. Divulgación limitada.
PCI DSS Comercios
www.isaca.org.uy/.../6-presentaciones-cigras-2011?...27%3Apci-dss...
Tanto Visa como Mastercard han definido niveles de cumplimiento para los comercios, y en
función de este nivel exigen ciertos requerimientos de validación. Los comercios de nivel 4
deben consultar a las entidades financieras para conocer si deben cumplir los requerimientos
de validación.
Categoría Características de Comercio
Información de Uso Interno elaborada por Credibanco. Divulgación limitada.
Comercios Certificados PCI
en Colombia
http://www.incocredito.com.co
Información de Uso Interno elaborada por Credibanco. Divulgación limitada.
• Promover la integridad del comercio y aumentar la confianza de los
consumidores en el negocio.
• Incrementar las ventas como consecuencia del aumento en la confianza de
los consumidores.
• Proteger al comercio de posibles pérdidas de ingresos, investigaciones
no deseadas y costos legales.
• Reducir el riesgo de atención no deseada de la prensa como resultado de
un compromiso o fuga de información de clientes.
• Proyectar mayor conciencia de los controles y medidas preventivas de
seguridad disponibles para el comercio.
• Reducir las disputas de Tarjetahabientes y costos asociados a
transacciones fraudulentas resultantes de un compromiso de información.
• Prevenir el robo masivo de información de clientes.
• Facilitar la adopción de estándares de seguridad válidos a nivel global.
Beneficios - Comercios
http://www.incocredito.com.co
La adopción de la norma PCI le permite a los comercios contar con los
siguientes beneficios:
Información de Uso Interno elaborada por Credibanco. Divulgación limitada.
Un comercio que tiene una plataforma transaccional
en AMBIENTE NO PRESENTE, debe: evaluar
constantemente el cumplimiento de las normas PCI-
DSS, para evitar violaciones y/o compromisos de
seguridad de las tarjetas de pago que procese por su
plataforma.
Los compromisos de información tienen
consecuencias de largo alcance:
Hacia el comercio notificaciones de las
franquicias, bancos adquirentes, redes
procesadoras y/o Estado; son notificaciones
reglamentarias que tienen costos altos para el
comercio.
ACCIONES de los Comercios
http://www.incocredito.com.co
Información de Uso Interno elaborada por Credibanco. Divulgación limitada.
Los compromisos de información tienen
consecuencias de largo alcance:
Impacto en la reputación de la cadena de
los actores que procesan la autorización,
y que avalan o respaldan la operación de
un comercio.
Pérdida de clientes.
Obligaciones económicas – Multas,
sobrecostos, cierres de la operación,
auditorias, ..
Demandas y/o litigios
ACCIONES de los Comercios
http://www.incocredito.com.co
Información de Uso Interno elaborada por Credibanco. Divulgación limitada.
Qué genera el compromisos de información?
Mal manejo en el proceso de almacenamiento de
la información, si es necesario para algún
proceso posterior (pago recurrente), debe
estar debidamente encriptada.
Falta de control en los accesos. Una forma
inapropiada o inadecuada, permitirá que hacker
o individuos maliciosos penetren los sistemas
a través de conexiones remotas.
Configuraciones y contraseñas predeterminadas
y permanentes. (Nunca se han cambiado).
ACCIONES de los Comercios
http://www.incocredito.com.co
Información de Uso Interno elaborada por Credibanco. Divulgación limitada.
Qué genera el compromisos de información?
Aplicaciones WEB con códigos deficientes.
Parches no instalados.
Parches obsoletos.
Falta de supervisión, por medios revisión de
registros, detección/prevención de intrusión,
escaneos trimestrales.
Falta de segmentación de una red, que facilita
los accesos a los datos debido a
vulnerabilidades de la red.
ACCIONES de los Comercios
http://www.incocredito.com.co
Información de Uso Interno elaborada por Credibanco. Divulgación limitada.
Qué debe proveer un comercio de ambiente no presente
a sus clientes?
Que tiene, desarrolla y mantiene una red
segura.
Que no utiliza valores predeterminados, su
entorno se caracteriza por ser dinámico y seguro
frente a claves y contraseñas de accesos.
Qué garantiza la protección de los datos de los
titulares de las tarjetas que procesa por su
plataforma.
Cifra la información en la transmisión de los
datos en las redes públicas.
Utiliza antivirus y los actualiza con
regularidad.
Desarrolla y mantiene aplicaciones seguras
Restringe, controla y asegura la información de
los titulares de las cuentas, según la necesidad
de la empresa.
ACCIONES de los Comercios
http://www.incocredito.com.co