O
Consejo PCI
ha lanzado recientemente la versión 4.0 de la Norma de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS). Esta nueva versión introduce una serie de cambios que las empresas deben conocer.
En este artículo, hablaremos un poco más de los antecedentes de la PCI DSS, así como de los principales cambios de la nueva versión y de cómo pueden prepararse las empresas para ellos.
Qué es la PCI DSS y por qué debes cumplirla
La Norma de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS) es un conjunto de normas de seguridad diseñadas para proteger los datos de los titulares de tarjetas.
Cualquier organización que acepte, procese o almacene información de tarjetas de crédito o débito debe cumplir la norma PCI.
El incumplimiento puede acarrear importantes multas por parte de las marcas de tarjetas, así como un mayor riesgo de violación de datos.
La DSS de la PCI incluye requisitos para crear y mantener una red segura, proteger los datos de los titulares de tarjetas, mantener un programa de gestión de vulnerabilidades, aplicar medidas estrictas de control de acceso y supervisar y probar periódicamente los sistemas.
Requisitos que garantizan la seguridad de las transacciones financieras
Básicamente, hay 12 requisitos que cubren todo, desde cómo se encriptan los datos hasta cómo se mantiene la seguridad física. Cumplir estos requisitos puede ser un reto, pero es esencial para cualquier empresa que quiera proteger la información de sus clientes.
Además, muchas empresas exigen que sus proveedores también cumplan la normativa PCI. Así que si quieres hacer negocios con ellos, tendrás que asegurarte de que estás de acuerdo con las normas PCI DSS.
Siguiendo estas buenas prácticas, las organizaciones pueden protegerse contra el robo de datos y el fraude.
¿Cuáles son los principales cambios de PCI DSS 4.0?
Uno de los cambios más importantes de PCI DSS 4.0 es el requisito de autenticación multifactor (MFA) para todos los accesos a los datos de los titulares de tarjetas.
La AMF añade una capa adicional de seguridad al exigir a los usuarios que proporcionen dos o más datos antes de que se les conceda el acceso.
Esto puede incluir algo que el usuario conoce, como una contraseña, algo que el usuario posee, como un token digital, o algo que el consumidor es, como una huella dactilar.
Al exigir varios factores, se hace mucho más difícil que personas no autorizadas accedan a datos confidenciales.
Otro cambio significativo en la PCI DSS 4.0 es la introducción de requisitos para la introducción del PIN mediante software en los dispositivos COTS.
Esto significa que los comercios deben asegurarse de que sus terminales de punto de venta (TPV) puedan aceptar PIN introducidos mediante software, como una aplicación de smartphone.
Cambios que ayudarán a reducir el fraude al dificultar a los ciberdelincuentes el robo y uso de los datos de los clientes a medida que se introducen
Otros cambios incluyen la adición de nuevos requisitos para la protección contra el malware y las vulnerabilidades, así como requisitos más estrictos para la respuesta a incidentes y la gestión de contraseñas.
En general, la DSS de la PCI revisada proporciona una mayor protección de los datos de los titulares de tarjetas y ayuda a garantizar que las organizaciones estén mejor preparadas para responder a los incidentes de seguridad.
Por último, la actualización de la norma PCI incluye nuevos requisitos para los planes de respuesta a incidentes. En particular, las organizaciones tendrán que disponer de procedimientos para identificar y contener rápidamente las violaciones de datos.
Esto puede incluir el aislamiento de los sistemas afectados, la notificación a las autoridades policiales y la supervisión activa de los sistemas para detectar accesos no autorizados.
Característica importante para la certificación PCI DSS 4.0: payShield 10K garantiza la seguridad de los pagos
La quinta generación de HSM de pago de EVAL, socio de Thales, ofrece un conjunto de funciones de seguridad probadas en entornos críticos, además del procesamiento de transacciones, la protección de datos confidenciales, la emisión de credenciales de pago, la aceptación de tarjetas móviles y la tokenización.
payShield 10K puede ser utilizado en todo el ecosistema global por emisores, proveedores de servicios, adquirentes, procesadores y redes de pago, ofreciendo una serie de ventajas para las empresas, lo que demuestra el compromiso de Thales con la mejora continua de sus productos.
Soporte criptográfico de alto rendimiento
Hoy en día, los pagos con tarjeta y los pagos digitales en línea crecen año tras año, lo que le obliga a supervisar y actualizar constantemente su ancho de banda de procesamiento.
payShield 10K ofrece un rendimiento RSA y 3DES significativamente superior al de sus predecesores, lo que puede reducir el número de dispositivos de la versión anterior y disminuir sus costes.
Este motor criptográfico más rápido también proporciona un rendimiento más consistente y predecible en todos los comandos del host, incluso en situaciones de carga pesada y cuando se utilizan comunicaciones seguras basadas en TLS.
Además, para admitir nuevos métodos de pago, payShield 10K es capaz de aprovechar el rapidísimo procesamiento ECC basado en hardware, además de los algoritmos 3DES, AES y RSA heredados.
Muchos de los casos de uso emergentes de emisión de credenciales de pago utilizan ECC en lugar de RSA, especialmente cuando el instrumento de pago es un dispositivo móvil, IoT o conectado.
payShield 10K se mejorará para admitir una gama mucho más amplia de algoritmos y mecanismos criptográficos a medida que se formalicen como parte de la creciente gama de especificaciones de seguridad de los pagos.
En la práctica, payShield 10K ofrece las siguientes ventajas a las empresas que desean obtener la certificación PCI DSS 4.0:
- Simplifica la implantación en centros de datos;
- Ofrece una gran resistencia y disponibilidad;
- Proporciona el más amplio soporte de tarjetas y aplicaciones móviles en el momento oportuno;
- Admite actualizaciones de rendimiento sin necesidad de cambiar el hardware;
- Mantiene la compatibilidad con todos los HSM de pago Thales heredados.
Dado que el mundo de los pagos busca cada vez más nuevos modelos de implantación que impliquen una combinación de nubes privadas y públicas, payShield 10K se ha diseñado específicamente para ofrecer una gestión y supervisión remotas seguras, proporcionando una auténtica experiencia “sin contacto”.
Esto proporciona soporte para múltiples tipos de ofertas de servicios de pago y más capacidades para realizar funciones de forma segura en una amplia gama de entornos operativos.
Gracias a sus funciones mejoradas, payShield 10K está perfectamente preparado para hacer frente al cambiante panorama de la seguridad en los pagos.
Con payShield 10K tendrá la garantía de que su empresa cumple las normas de seguridad más estrictas del sector financiero.
EVAL Professional Services cuenta con un equipo de profesionales especializados con las mejores prácticas del mercado
Benefíciese de nuestros años de experiencia y conocimientos en materia de seguridad de la información y cumplimiento de la LGPD. Seremos su socio para la realización de proyectos de digitalización respetando las normas de seguridad y protección de datos.
Compartimos nuestra experiencia en todos los flujos empresariales de las instituciones sanitarias para ayudarle a minimizar los riesgos, maximizar el rendimiento y garantizar la protección de datos que esperan sus pacientes y socios.
Acerca de EVAL
Con una trayectoria de liderazgo e innovación que se remonta a 2004, en Eval no sólo nos mantenemos al día de las tendencias tecnológicas, sino que estamos en una búsqueda constante de nuevos avances ofreciendo soluciones y servicios que marquen la diferencia en la vida de las personas.
Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.
Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.
La seguridad evaluativa es un valor.
