Protección del ecosistema de pagos

Más información acerca del Programa Protección de Datos del Sitio(SDP) e industria de las tarjetas de pagos (PCI) de Mastercard®

Junto con colegas de la industria, en 2006 Mastercard fundó y desarrolló el Estándar de Seguridad de Datos de la Industria de las Tarjetas de Pagos (PCI DSS). Para ayudar a los adquirentes, comerciantes y proveedores de servicios a cumplir con este estándar fundamental, Mastercard también ofrece el Programa Protección de Datos del Sitio (SDP).

El Programa SDP, con el PCI DSS como su principio básico, detalla los requisitos de validación de cumplimiento y seguridad de datos necesarios para proteger los datos de la cuenta de pagos de Mastercard almacenados y transmitidos.

El PCI DSS está diseñado para identificar vulnerabilidades en los procesos de seguridad, procedimientos y configuraciones de los sitios web. El cumplimiento del PCI DSS y el posterior cumplimiento del mandato del programa SDP  les permite a los comerciantes, proveedores de servicios y emisores protegerse a sí mismos de la violación de datos de seguridad, al tiempo que les permite mejorar la confianza del cliente y proteger la integridad general del sistema de pagos.

Más información acerca de los estándares de seguridad PCI

El estándar de seguridad de datos PCI

Con más de 250 subrequisitos, el PCI DSS se puede clasificar a un alto nivel en seis objetivos y 12 requisitos principales.

Seis objetivos, 12 requisitos

Objetivos Requisitos PCI DSS
Construir y mantener una
red de seguridad
1: Instalar y mantener una configuración de firewall para proteger los datos del tarjetahabiente
2: No utilizar contraseñas de sistemas y otros parámetros de seguridad establecidos por defecto por los proveedores
Proteger los datos
del tarjetahabiente
3: Proteger los datos almacenados de los tarjetahabientes
4: Encriptar las transmisiones de datos del tarjetahabiente en redes públicas abiertas
Mantener un programa de gestión de vulnerabilidad 5: Utilizar y actualizar regularmente un software antivirus
6: Desarrollar y mantener aplicaciones y sistemas de seguridad
Implementar fuertes
medidas de control de acceso
7: Restringir el acceso a los datos de los tarjetahabientes según los negocios que deban conocerlos
8: Asignarle una identificación única a cada persona con acceso al computador
9: Restringir el acceso físico a los datos del tarjetahabiente
Monitorear y probar
regularmente las redes
10: Hacer seguimiento y monitorear todos los accesos a los recursos de la red y a los datos de los tarjetahabientes
11: Probar regularmente los sistemas y procesos de seguridad
Mantener una política de
seguridad de información
12: Mantener una política que aborde la seguridad de la información

 

 

Estándar de seguridad de datos de la aplicación de pagos

El Estándar de Seguridad de Datos de la Aplicación de Pagos (PA-DSS) va dirigido a los desarrolladores e integradores de las aplicaciones de pagos que almacenan, procesan o transmiten los datos de los tarjetahabientes como parte de la autorización o de la liquidación de los pagos cuando estas aplicaciones se venden, se distribuyen o se otorgan licencias a terceros.

El PA-DSS les exige a los proveedores de aplicaciones de pagos de terceros que garanticen controles de seguridad adecuados para resguardar los datos de los tarjetahabientes. Muchos de los controles del PA-DSS están diseñados para abordar específicamente vulnerabilidades comunes que fueron identificadas como las principales causas de la pérdida de datos de tarjetas de crédito.

Mandato de Mastercard en vigencia desde el 1 de julio de 2012

Vigentes desde el 1 de julio de 2012, Mastercard revisó los estándares del programa SDP de Mastercard para exigirles a todos los comerciantes y proveedores de servicios que utilicen aplicaciones de pagos de terceros que solo utilicen aquellas aplicaciones que cumplan con el Estándar de Seguridad de Datos de la Industria de las Tarjetas de Pagos (PCI DSS), según corresponda. La aplicabilidad del PCI PA-DSS a las aplicaciones de pagos de terceros está definida en la Guía del programa PCI PA-DSS. Además, Mastercard establecerá un nuevo requisito de validación del cumplimiento del PA-DSS para los comerciantes nivel 1, nivel 2 y nivel 3, así como para los proveedores de servicios nivel 1 y nivel 2.

El mandato del PA-DSS de Mastercard le permitirá seguir impulsando la adopción global y el cumplimiento con el PCI DSS por todas las partes involucradas del ecosistema de pagos.