Upload
bellator
View
216
Download
4
Embed Size (px)
DESCRIPTION
Payment Card Industry Data Security Standard. La importancia de PCI DSS y por qué su organización debe cumplir con este estándar que data de 2004.
Citation preview
RISCCO Punto de vista
Administración de Riesgo
PCI DSS (Payment Card Industry Data Security Standard)
¿Qué significa este estándar internacional y por qué su organización podría estar en riesgo de no cumplirlo?.
La importancia de PCI DSS y por qué su
organización debe cumplir con este estándar
que data de 2004, son abordados en esta
nueva entrega de Punto de Vista.
En este punto de vista PCI DSS y por qué puede afectar a su organización 2
RISCCO Punto de vista
PCI DSS y por qué puede afectar a su organización
El PCI DSS (Payment Card Industry Data Security Standard ) fue creado
en 2004 por Visa Card, MasterCard, American Express, JCB y Discover
para ayudar a las organizaciones que procesan pagos con tarjetas a
establecer controles y buenas prácticas de seguridad de información para
prevenir el creciente fraude con tarjetas de crédito/débito.
El 28 de Octubre de 2010 fue liberada la nueva versión PCI DSS 2.0, la
cual clarifica el significado de algunos requerimientos de la versión
anterior. Con base a ella, hemos elaborado, una lista de seis preguntas
que lo ayudarán a comprender por qué muy probablemente su
organización deba cumplir con este estándar y cuáles podrían ser las
implicaciones de no hacerlo.
1. ¿Qué es el estándar internacional PCI DSS?
2. ¿Debe nuestra organización cumplir con PCI DSS?
3. ¿Cuáles requerimientos debo cumplir?
4. ¿Necesito cumplir con PCI DSS si actualmente el proceso de tarjeta
de crédito lo tengo tercerizado con otra compañía?
5. ¿Por qué debo cumplir con PCI DSS si en Panamá no existen leyes de Privacidad y Protección de Datos?
6. ¿Qué ocurre si no cumplo con PCI DSS?
1. ¿Qué es el estándar internacional PCI DSS?
Fue creado en 2004 por Visa Card, MasterCard, American Express,
JCB y Discover para ayudar a las organizaciones a proteger a sus
clientes del creciente delito de robo de identidad y que se realicen
fraudes con las tarjetas de crédito.
PCI DSS incluye doce requerimientos que persiguen que las
organizaciones adopten buenas prácticas de seguridad de información
para proteger los datos sensitivos de los clientes, como por ejemplo:
nombre; número de tarjeta (PAN siglas del Inglés Primary Account
Number); fecha de vencimiento; datos de la banda magnética.
RISCCO Punto de vista 3
2. ¿Debe nuestra organización cumplir con PCI DSS? PCI DSS aplica a cualquier organización que almacene, transmita o
procese datos relacionados con tarjetas de crédito. Tenga presente
que se incluye cualquier medio en que los datos se encuentren, es
decir, desde un USB, disco fijo o inclusive el papel impreso de una
transacción realizada comúnmente en un comercio.
3. ¿Cuáles requerimientos debo cumplir? PCI DSS incluye doce requerimientos y aproximadamente doscientos
sub-requerimientos orientados a la creación de políticas,
procedimientos y procesos de seguridad de información. Para ciertos
requerimientos se necesitará software y hardware de seguridad para
cumplirlo.
4. ¿Necesito cumplir con PCI DSS si actualmente el proceso de tarjeta de crédito lo tengo tercerizado con otra compañía?
Es correcto que tener tercerizado este proceso ayuda, pero es su
responsabilidad asegurarse de que el o los proveedores de servicio
cumplen con la norma. Existen “aplicaciones” para el procesamiento
de pago que son “PCI DSS Certified”. Ahora, la aplicación es solo un
elemento más de todos los requerimientos que hay que cumplir con el
estándar.
Tenga presente que legalmente su organización no evade la
responsabilidad de una fuga de información si la misma ocurre en uno
de tales proveedores.
5. ¿Por qué debo cumplir con PCI DSS si en Panamá no existen leyes de Privacidad y Protección de Datos? Indistintamente, existan o no regulaciones locales, su organización
debe cumplir con PCI DSS. Es casi un obligación impuesta por las
marcas emisoras de tarjetas.
Para su información existen diversas leyes y acuerdos bancarios en
Panamá que tipifican, claramente, la responsabilidad de las
organizaciones en proteger la confidencialidad de los datos sensitivos
RISCCO Punto de vista 4
de los clientes. Sólo por mencionar algunas están: Acuerdos No. 1 de
2007 y No. 5 de 2003, de la Superintendencia de Bancos; artículos No.
85 y 138-G de la Ley Bancaria de 2008; Ley No. 6 de 2002 que regula
aspectos de transparencia en el sector público; Ley No. 51 de 2008
que regula aspectos de firmas electrónicas; Ley No. 81 de 2009 que
regula aspectos de tarjetas de financiamiento.
6. ¿Qué ocurre si no cumplo con PCI DSS? Pude ser demandado legalmente por usuarios afectados por el uso
fraudulento de sus tarjetas de crédito ante un eventual robo de la base
de datos de sus clientes de tarjetas de crédito. Además, Visa o
cualquiera otra de tales compañías, podría imponer multas a las
Entidades Financieras y revocar el derecho a utilizar su marca. A los
comercios que no cumplan con el estándar, podrían sencillamente no
estar en la capacidad de aceptar pagos por los bienes o servicios que
ofrecen.
En caso de que no encuentre respuesta a cualquier duda o interrogante
que tenga sobre PCI DSS, por favor contáctenos a [email protected]
* * *
© 2009-2010 RISCCO. Todos los derechos reservados. RISCCO y su logo son una marca registrada de RISCCO, S. de R. L. RISCCO no está registrada ni licenciada como una firma de contadores públicos y no emite opinión sobre estados financieros u ofrece servicios de atestación.
Independencia. Integridad. Conocimiento. Credibilidad. RISCCO es una compañía independiente dedicada de manera exclusiva a la consultoría en riesgo, negocios, fiscal, tributaria y auditoría interna. Para mayor información sobre el contenido de este documento o conocer más sobre la forma cómo estamos ayudando a las organizaciones a enfrentar sus desafíos en materia de administración de riesgo, riesgos de tecnología, riesgos fiscales o auditoría interna, por favor contáctenos. [email protected] Teléfono: +507 279-1410
RISCCO Ave. Ricardo J. Alfaro Panamá, Rep. de Panamá www.riscco.com