La normativa PCI-DSS se focaliza en la implantación de una gran variedad de controles que se encuentran organizados en 6 categorías y 12 secciones.

Categoría Requerimiento
Construir y mantener una red segura 1. Instalar y mantener configuraciones de “firewall” para proteger los datos de tarjetahabientes
2. No usar contraseñas o parámetros de seguridad provistos por el vendedor (defaults)
Proteger la información del titular de la tarjeta de pago 3.Proteger los datos del tarjetahabiente
4.Encriptar los datos de tarjetahabiente e información sensitiva al enviarla por redes públicas y abiertas
Establecer programas de pruebas de vulnerabilidades 5.Usar y actualizar regularmente el software anti-virus
6.Desarrollar y mantener sistemas y aplicaciones seguros
Implementar medidas fuertes de control de acceso 7.Restringir el acceso a los datos de tarjetahabiente a lo mínimo necesario
8.Asignar IDs únicos para cada persona con acceso a los sistemas
9.Restringir el acceso a la información de tarjetahabiente
Regularmente monitorear y probar el acceso a la red 10.Monitorear y mantener registros de accesos a la red e información del tarjetahabiente.
11.Probar regularmente los sistemas y procesos de seguridad
Mantener políticas de seguridad de la información 12. Mantener una Política de Seguridad de la Información

 

Servicios de Assertiva para el Cumplimento de PCI-DSS

A continuación se mencionan algunas soluciones y servicios de Assertiva específicos para el cumplimiento de controles de PCI-DSS.

Servicios profesionales:

  • Gap de cumplimiento de PCI_DSS
  • Programa de cumplimiento PCI-DSS
  • Auditoría y certificación PCI-DSS
  • Definición de políticas, normas y procedimientos de seguridad
  • Revisión de reglas de firewalls y routers
  • Hardening de plataformas y bases de datos
  • Arquitectura de red segura
  • Planes de recuperación ante desastres
  • Ethical hacking o test de penetración externo
  • Análisis de vulnerabilidades interno sobre aplicaciones y plataformas
  • Planes de concientización
  • Evaluación de riesgos al ambiente de datos del tarjetahabiente
  • Consultoría para la definición de Roles y Perfiles
  • Certificación de accesos

Tecnologías:

  • Security Information Event Management (SIEM)
  • PCI Express for Merchants
  • Identity and Access Management (IAM)
  • FIM (File Integrity Monitoring)
  • Data Loss Prevention (DLP)
  • Web Application Firewall (WAF)
  • Database Security
  • Data Masking Technologies
  • Data Encryption
  • Endpoint Protection
  • VPN/SSL
  • Pan Agent Searcher
  • Email Security
  • Gestión de usuarios privilegiados (PUM)
  • Vulnerability Management Tools