Somos una empresa especializada enfocada en las necesidades de cada cliente en certificación PCI-DSS, con profesionales calificados para asistirlo con los requisitos de acuerdo a su alcance.
¿Qué es la certificación PCI DSS?
PCI Compliance es una certificación necesaria para todas las empresas involucradas en transacciones que involucran datos de tarjetas de crédito, teniendo en cuenta el almacenamiento, transmisión y procesamiento de esta información confidencial.
¿Cuál es el propósito de la certificación PCI DSS?
Debido a las enormes pérdidas por fraude, las principales marcas de tarjetas de crédito del mundo crearon el estándar PCI DSS. La certificación es el conjunto de reglas para generar mayor protección en las transacciones vía internet y también en las tiendas físicas. Siempre deben realizarse en un entorno seguro, siempre acompañado de un entorno con certificaciones digitales SSL.
¿Quién debe cumplir con PCI DSS?
Todas las entidades que procesan datos de tarjetas de crédito.
¿Cuáles son los requisitos para la certificación PCI DSS?
Brevemente, los 12 requisitos que se deben cumplir para obtener la certificación PCI DSS son:
-
utilizar un cortafuegos eficiente;
-
no utilice contraseñas ni configuraciones predeterminadas;
-
proteger la información almacenada del propietario de la tarjeta;
-
cifrar la transmisión de datos;
-
utilizar soluciones de seguridad como antivirus, antispyware y antimalware;
-
crear y mantener aplicaciones y sistemas seguros;
-
restringir el acceso a los datos de la tarjeta;
-
crear un inicio de sesión para cada usuario del sistema;
-
restringir el acceso a los datos de la tarjeta;
-
rastrear y monitorear todos los accesos;
-
probar la seguridad del sistema utilizado;
-
definir una política de seguridad.
¿Cuál es el propósito del cuestionario de autoevaluación PCI DSS?
El Cuestionario de autoevaluación PCI DSS(SAQ) es una herramienta de validación que los comerciantes y otros proveedores de servicios utilizan para informar los resultados de su autoevaluación PCI DSS. Los comerciantes completan un SAQ cada año y lo envían a su banco adquirente para evaluar su cumplimiento de PCI DSS. Además de informar al banco adquirente que el comerciante cumple, el SAQ ayuda a los comerciantes a detectar violaciones en las prácticas de seguridad, lo que les da la oportunidad de hacer correcciones antes de que se conviertan en un problema mayor.
¡Resuelva y prevenga problemas de seguridad de la información e impulse las ventas y transacciones de su empresa!
SEGURIDAD
Sus servidores y entorno de red son mucho más seguros, protegiendo los datos de los clientes y previniendo fraudes en el sistema.
RELACIÓN
La imagen de su empresa está protegida de la exposición negativa e incluso mejora la credibilidad ante los clientes.
CONFIANZA
Adaptación a las mejores prácticas de las mayores empresas del mundo, protegiendo la imagen de su empresa en el mercado.
CONFORMIDAD
Informe a sus socios y clientes que su empresa cumple con los estándares globales de seguridad para el procesamiento de tarjetas.
CONTROL
Controle el acceso a la información, reduciendo el riesgo de fuga de datos de la empresa.
SUPERVISIÓN
No basta con realizar la validación una sola vez, siempre hay que monitorearla para evitar la posibilidad de problemas futuros.
Niveles PCI
Nivel 1
más de 6 millones de transacciones anuales
Para empresas que procesan más de 6 millones de transacciones con tarjeta al año.
Realizada por un auditor autorizado de PCI, las empresas deben someterse a una auditoría interna una vez al año. Además, una vez por trimestre, deben someterse a un escaneo PCI por parte de un proveedor de escaneo aprobado (ASV).
Requisitos de validación:
-
El Asesor de Seguridad Calificado (“QSA”) aplica las acciones necesarias para que el entorno cumpla plenamente con PCI-DSS.
-
Pruebas de vulnerabilidad trimestralmente Escáner aprobado ("ASV").
-
Prueba de penetración con informe técnico
-
Certificado de conformidad (“AOC”).
Nivel 3
entre 20 mil y 1 millón de transacciones anuales
El nivel 3 se aplica a los comerciantes que procesan entre 20.000 y un millón de transacciones de comercio electrónico al año.
Las empresas deben completar una evaluación una vez al año mediante un cuestionario de evaluación (SAQ). Adicionalmente se requiere un escaneo PCI trimestral, además de la Penetración realizada en el entorno con informe técnico.
Requisitos de validación:
-
Cuestionario de Evaluación Ambiental (SAQ)
-
Pruebas de vulnerabilidad (ASV)
-
Prueba de penetración con informe técnico
-
Implementar políticas necesarias para cada tipo de entorno.
-
Certificado de conformidad (AOC)
Nivel 2
entre 1 y 6 millones de transacciones anuales
Nivel 2 si se aplica a comerciantes que procesan entre uno y seis millones de transacciones con tarjeta de crédito o débito. anualmente.
Las empresas deben completar una evaluación una vez al año mediante un cuestionario de evaluación (SAQ). Adicionalmente se requiere un escaneo PCI trimestral, además de un Pentest realizado en el entorno con informe técnico.
Requisitos de validación:
-
Cuestionario de Evaluación Ambiental (SAQ)
-
Pruebas de vulnerabilidad (ASV)
-
Prueba de penetración con informe técnico
-
Implementar políticas necesarias para cada tipo de entorno.
-
Certificado de conformidad (AOC)
Nivel 4
entre 20 mil y 1 millón de transacciones anuales
El nivel 3 se aplica a los comerciantes que procesan entre 20.000 y un millón de transacciones de comercio electrónico al año.
Las empresas deben completar una evaluación una vez al año mediante un cuestionario de evaluación (SAQ). Adicionalmente se requiere un escaneo PCI trimestral, además de la Penetración realizada en el entorno con informe técnico.
Requisitos de validación:
-
Cuestionario de Evaluación Ambiental (SAQ)
-
Pruebas de vulnerabilidad (ASV)
-
Prueba de penetración con informe técnico
-
Implementar políticas necesarias para cada tipo de entorno.
-
Certificado de conformidad (AOC)
Tipos de SAQ PCI DSS
¿Cómo almacena, procesa o transmite su organización los datos de las tarjetas de pago? El PCI Council ha creado nueve cuestionarios de autoevaluación (SAQ) adaptados a los canales de transacciones con tarjetas de pago. Seleccionar el PCI SAQ adecuado es un paso importante hacia el cumplimiento. El PCI Council brinda orientación sobre cómo seleccionar el SAQ apropiado; sin embargo, incluso con la orientación brindada, muchas organizaciones tienen dificultades para seleccionar el SAQ correcto.
Tipo de SAQ PCI DSS | Critérios de elegibilidade |
---|---|
SAQ D para provedores de serviços | Para prestadores de serviços considerados elegíveis para preencher um SAQ. |
SAQ D para comerciantes | Para todos os comerciantes qualificados para SAQ que não atendem aos critérios para outros tipos. Para comerciantes que não terceirizam o processamento do cartão de crédito ou usam uma solução P2PE e podem armazenar os dados do cartão de crédito eletronicamente. |
SAQ P2PE | Para comerciantes que utilizam dispositivos de criptografia ponto a ponto (P2PE) aprovados, sem armazenamento eletrônico de dados do titular do cartão. |
SAQ C | Para qualquer comerciante que utilize um aplicativo de pagamento conectado à Internet, mas sem armazenamento eletrônico de dados do titular do cartão. |
SAQ C-VT | Para comerciantes que utilizam um terminal virtual em um computador dedicado exclusivamente ao processamento de cartões e que não armazenam dados eletrônicos do titular do cartão. Isso não é para atividades de comércio eletrônico. |
SAQ B-IP | Para comerciantes que usam apenas terminais de pagamento independentes aprovados pela PTS com uma conexão IP ao processador de pagamento e que não armazenam dados eletrônicos do titular do cartão. Isso não é para atividades de comércio eletrônico. |
SAQ B | Para comerciantes que utilizam máquinas de impressão e/ou terminais de discagem independentes e não transmitem, processam ou armazenam dados eletrônicos do titular do cartão. Isso não é para atividades de comércio eletrônico. |
SAQ A-EP | Para comerciantes somente de comércio eletrônico que dependem de provedores de serviços terceirizados para lidar com as informações do cartão e que têm um site que não processa dados de cartão de crédito, mas pode afetar a segurança da transação de pagamento. Não há armazenamento, processamento ou transmissão eletrônica de quaisquer dados do titular do cartão nos sistemas ou instalações do comerciante. |
SAQ A | Para comerciantes de e-commerce/correio/pedido por telefone (cartão não presente) que terceirizaram completamente todas as funções de dados do titular do cartão. Não há armazenamento, processamento ou transmissão eletrônica de quaisquer dados do titular do cartão nos sistemas ou instalações do comerciante. |