PCI Data Security Standard (PCI DSS), es el estándar de seguridad que define el conjunto de requerimientos para gestionar la seguridad, definir políticas y procedimientos de seguridad, arquitectura de red, diseño de software y todo tipo de medidas de protección que intervienen en el tratamiento, procesado o almacenamiento de información de tarjetas de crédito.
Su finalidad es la reducción del fraude relacionado con las tarjetas de crédito e incrementar la seguridad de estos datos.
PCI DSS es fruto del esfuerzo del PCI Security Standards Council (PCI SSC) formado por las principales compañías emisoras de tarjetas de crédito (Visa, Mastercard, American Express, JCB y Discover), para forzar y facilitar a comercios, proveedores de servicios y bancos a reducir el riesgo de fraude con tarjetas de crédito, mediante la protección de las infraestructuras que procesan, transmiten o almacenan datos relativos a tarjetas de crédito.
Cualquier organización que participe en el procesamiento, transmisión o almacenamiento de información de tarjetas de crédito queda afectada por el cumplimiento de los requerimientos que establece PCI DSS.
PCI DSS cataloga a estas organizaciones en comercios o merchants (super/hipermercados, autopistas, e-commerce, agencias de viajes, etc), proveedores de servicios o service providers (ISP/ASP, pasarelas de pago, fabricantes de tarjetas, servicios de envío de tarjetas, procesadores de transacciones, etc.) y entidades financieras o acquirers (bancos, cajas de ahorro, entidades de crédito, etc.).
Neurosec, con su experiencia en consultoría y auditoría en seguridad de la información, está en disposición de ayudar a todas aquellas organizaciones que están obligadas a definir y mantener un programa de cumplimiento de los requerimientos exigidos tanto por PCI DSS como PA DSS.
Para ello, ha desarrollado los siguientes servicios:
CONSULTORÍA DE IMPLEMENTACIÓN DE PCI DSS
El primer paso para cumplir con los requerimientos de PCI DSS es realizar un análisis de la organización, identificar los puntos en la cadena de valor donde se transmite, procesa o almacena información de tarjetas de crédito y definir el entorno que debe ser protegido para cumplir con PCI DSS.
Una vez identificado este entorno se deben evaluar los riesgos y definir el programa de cumplimiento que establece y mantiene las medidas de seguridad necesarias para poder cumplir con los 12 requerimientos definidos en el estándar.
Neurosec, con su servicio de consultoría de implementación tiene como objetivo proporcionar a las organizaciones, todo el soporte necesario y guiarles en la definición y mantenimiento del programa de cumplimiento con PCI DSS.
AUDITORÍA DE CUMPLIMIENTO DE PCI DSS
Neurosec está acreditada por el PCI SSC, a través de su certificado QSA, para realizar las auditorías anuales on-site a todas aquellas empresas que por su volumen de transacciones anual (varía en función de la marca de tarjetas de crédito) lo requieran. En el proceso de auditoría se verifica, mediante muestreo, que los requerimientos establecidos en PCI DSS se están cumpliendo. Y para todos aquellos puntos que no se cumplen se define el plan de acción para solventar las inconformidades.
CUESTIONARIO DE AUTOEVALUACIÓN (SELF-ASSESSMENT QUESTIONNAIRE)
Para todas aquellas empresas que no están obligadas a realizar auditorías on-site de forma anual, Neurosec proporciona un servicio de soporte para la elaboración del cuestionario de autoevaluación, llevando a cabo previamente una revisión del estado actual de cumplimiento de los requerimientos que PCI DSS establece.
ANÁLISIS DE VULNERABILIDADES TRIMESTRALES ASV
La ejecución de escaneos de vulnerabilidades externos trimestrales por parte de proveedores certificados como ASVs es uno de los requerimientos que establece PCI DSS en su apartado 11.2 con el objetivo de comprobar de forma regular la seguridad de los sistemas, procesos y aplicaciones de forma frecuente. Neurosec gracias a su gran experiencia en la realización de test de intrusión, ha superado las pruebas necesarias y obteniendo el certificado de ASV por el PCI SSC pudiendo realizar estos análisis de vulnerabilidades a todas aquellas empresas que lo requieren dentro de su programa de cumplimiento con PCI DSS.