top of page
back 72-06.jpg

¿Tus transacciones son seguras?

Asegura todas las transacciones con tarjetas de tu empresa mediante el cumplimiento de las normas PCI - DSS y reduce los fraudes e incrementa la seguridad en tu negocio.

bandas colores.png

¿Qué es PCI - DSS ?

Payment Card Industry - Data Security Standard

Define un conjunto de requerimientos para gestionar la seguridad y medidas de proyección que intervienen en la transmisión, procesamiento o almacenamiento de información de tarjetas de pago.

Su finalidad es la reducción del fraude relacionado con las tarjetas de pago e incrementar la seguridad de estos datos para proteger la industria de pagos con tarjeta

funciona
nuevo back-06.jpg

¿Por qué se debe cumplir con PCI DSS?

Debemos asegurarnos que los datos de los clientes estén siempre completamente protegidos.
Es necesario saber que:

Proteger los datos nos ayuda a evitar los fraudes asociados a brechas de seguridad que pueden producirse en el sistema.

Se debe evitar la pérdida de confianza de nuestros clientes, ya que éstos nos confían la confidencialidad de sus datos personales.

En caso de un acceso ilegítimo, esto puede derivar daños hacia la marca con consecuencias económicas, de imagen, etc.

Las técnicas de las organizaciones criminales se perfeccionan y hay que estar actualizados para garantizar la seguridad.

¿Cuáles son las consecuencias del incumplimiento?

El no cumplir con estas normas puede acarrear graves consecuencias, entre las que destacamos:

Pago de multas o sanciones impuestas por las marcas o adquirientes, así como el pago de indemnizaciones a los afectados

Imposibilidad de trabajar con el adquiriente porque debe garantizar que todos los comercios adquiridos cumplan con los estándares.

Posibilidad de incurrir en el incumplimiento de otras leyes y normativas

¿Quién debe cumplir con el estándar
PCI-DSS?

Cualquier entidad que almacena, procesa o transmite los datos de los titulares de las tarjetas, debe cumplir con éste estándar.

Esto abarca desde la manufactura (PTS), pasando por los desarrolladores de software (PA) hasta los comerciantes y proveedores de servicios (DSS).

Estos tres estándares proveen la base para la protección de datos del tarjetahabiente:

PTS: Dispositivos de pago.

PA: Aplicaciones de pago.

DSS: Procesos e infraestructura de comercios y prestadores de servicio.

manos tarejetas.jpg

Tres pasos para el cumplimiento

Proceso continuo

Evaluación

identificar los datos de los titulares de las tarjetas, a partir del inventario de activos de TI y procesos de negocio para el procesamiento de pagos con tarjeta, identificando las vulnerabilidades que podrían exponer los datos.

Corrección

solución de vulnerabilidades detectadas y no almacenar los datos de los titulares de las tarjetas.

Informe

requiere de recopilar y enviar registros de validación de corrección (si es aplicable) y presentación de informes de cumplimiento para los Bancos y emisores de tarjeta con los que se hacen negocios.

Estructura estándar de PCI - DSS

objetivos_edited.png
requerimientos_edited.png
procedimientos_edited.png

Procedimientos

nuevo back-06.jpg

Requerimientos

Instalar y mantener una configuración de firewalls y routers para proteger los datos de tarjeta-habientes.

Utilizar y actualizar regularmente el software o los programas antivirus.

Restringir el acceso físico a datos de titulares de tarjetas.

No emplear valores predeterminados por el fabricante para contraseñas y otros parámetros de seguridad.

Desarrollar y mantener sistemas y aplicaciones seguras.

Rastrear y monitorear todo acceso a los recursos de red y datos de titulares de tarjetas.

Proteger los datos almacenados del titular de la tarjeta.

Restringir el acceso a los datos de los titulares de las tarjetas conforme a la necesidad de conocer de la empresa.

Probar con regularidad los sistemas y procesos de seguridad.

Codificar la transmisión de los datos de los titulares de tarjetas a través de redes públicas abiertas.

Asignar un ID único a cada persona que tenga acceso a equipos.

Mantener una política sobre la seguridad de la información para empleados y contratistas.

requerimientos

Objetivos

Desarrollar y mantener una red segura.

Implementar medidas sólidas de control de acceso.

Proteger los datos de titulares de tarjetas.

Supervisar y evaluar las redes con regularidad.

Mantener un programa de administración de vulnelrabilidades.

Mantener una política de seguridad de la información.

objetivos

Niveles de cumplimiento de PCI - DSS

Comerciantes

Nivel 1

- Si procesa más de 6 millones de transacciones VISA o MasterCard al año.

- Si procesa más de 2.5 millones de transacciones AmEx al año.

Nivel 3

- Si procesa entre 20 mil y un millón de transacciones VISA al año.

- Si procesa más de 20 mil transacciones MasterCard al año.

- Si procesa menos de 50 mil transacciones AmEx al año.

Nivel 2

- Si procesa entre 1 y 6 millones de transacciones VISA al año.

- Si procesa más de 150 mil transacciones MasterCard al año.

- Si procesa entre 50 mil y 2.5 millones de transacciones AmEx al año.

Nivel 4

El resto de comerciantes que manejan VISA o MasterCard

persona-pagando-tecnologia-nfc-restaurante.jpg

Proveedores de servicios

Niveles de cumplimiento de PCI - DSS

Nivel 1

VISA:

- Si procesan más de 300 transacciones anualmente.

- Todo procesador de VISANet.

- Todas las pasarelas de pagos.

MasterCard:

- Si procesan más de  300 transacciones anualmente.

- Todas las entidades de guarda de datos (DSEs) que procesen, almacenen  o transmitan datos del tarjetahabiente para comerciantes nivel 1 y 2.

Nivel 2

VISA:

- Si procesan menos de 300 transacciones anualmente.

- Todo proveedor de servicios que procese, almacene o transmita un millón o más de cuentas o transacciones VISA al año.

MasterCard:

- Si procesan menos de 300 transacciones anualmente.

- Todas las (DSEs) que procesen, almacenen o transmitan datos del tarjetahabiente para comerciantes niveles 3.

- El resto de (DSEs)

¿Por qué NORDSTERN?

En nuestra propuesta de servicios, ofrecemos una sólida póliza de cobertura contra errores en la consultoría y precios preferenciales gracias a acuerdos con los bancos adquirientes. Con una amplia experiencia en el sector e-commerce a nivel global, proporcionamos capacitación gratuita sobre las normas y contamos con un Comité de Calidad interno para validar la documentación, asegurando el cumplimiento de estándares como PCI DSS y Medios de Pago antes de la entrega formal al cliente.

 

Nuestra propuesta destaca por la excelencia técnica, respaldada por políticas y procesos que garantizan resultados de calidad y la satisfacción del cliente.

nueva imagen nordstern.png

Análisis de brecha

Verificación del estado inicial del cumplimiento.

Informe de evaluación PCI-DSS.

Remediación

Def. actividades de cumplimiento con sesiones de revisión/avance.

Identificación de desviaciones.

Escaneos ASV

Escaneos de red internos y/o externos trimestrales.

Pruebas de penetración

Pruebas de penetración internas y externas.

Auditoría de cumplimiento

Auditoría en sitio de los doce requerimientos establecidos en la norma.

bottom of page