Cumplimiento PCI

Entendemos que puede ser una responsabilidad compleja y delicada. Estamos aquí para ayudarlo a comprender y lograr su certificación PCI DSS, para que no solo aumente su nivel de seguridad, sino que también fortalezca la confianza de sus valiosos clientes. Permítanos guiarlo hacia su certificación PCI DSS.

Contáctenos

PCI DSS 4.0

¿Almacena, procesa o transmite datos de tarjetas de crédito? Si es así, debe cumplir con los requisitos del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), aplicable a nivel global. PCI DSS consiste en numerosas medidas de seguridad técnicas y organizativas, todas destinadas a proporcionar el más alto nivel de seguridad para el procesamiento y almacenamiento de información de tarjetas de crédito.

A partir de marzo de 2024, el Consejo de Normas de Seguridad PCI (PCI SSC) requiere que valide según PCI DSS v4.0, la actualización más significativa del estándar de seguridad de datos de tarjetas de crédito hasta la fecha, que reemplazará la versión PCI DSS v3.2.1.

Alinear y desarrollar aún más los procesos existentes basados en los requisitos PCI DSS v4.0 generalmente requiere un proyecto de implementación bien considerado. Nuestros expertos estarán encantados de realizar un análisis de deficiencias junto con la evaluación para verificar sus entornos, documentos y procesos en cuanto al cumplimiento con PCI DSS v4.0, y presentar un plan de validación.

Cómo le acompañamos

Como QSA PCI, Fortytwo Security está capacitado para realizar auditorías y ofrecer consultoría a empresas que buscan alcanzar, mantener o demostrar el cumplimiento PCI. Nuestros consultores están aquí para identificar brechas en los procesos, revisar y proponer soluciones prácticas de remediación, así como proporcionar recursos adicionales según sea necesario para facilitar la ejecución interna del trabajo.

Ofrecemos una amplia gama de servicios PCI DSS, que incluyen pruebas de penetración, escaneo de vulnerabilidades (ASV) y soporte de auditoría QSA. Nuestros servicios comprenden:

Escaneo ASV

Para el escaneo externo de vulnerabilidades ASV, se requiere un proveedor de escaneo aprobado y certificado por el PCI SSC (Consejo de Normas de Seguridad PCI). Fortytwo está certificado para utilizar Qualys como proveedor de escaneo aprobado.

Asistencia de Corrección

Soporte y orientación para abordar y corregir problemas identificados, deficiencias o incumplimientos según los hallazgos de la auditoría. La asistencia en remediación tiene como objetivo ayudarte a tomar acciones correctivas para mitigar riesgos, mejorar procesos y lograr el cumplimiento.

Validación Remota

Si es necesario, podemos realizar auditorías de cumplimiento, evaluaciones o inspecciones de manera remota para garantizar el cumplimiento de requisitos regulatorios, normas de la industria o políticas organizacionales. Esto puede incluir revisión de documentos, entrevistas y auditorías remotas con herramientas de colaboración virtual.

Asistencia en Políticas y Procedimientos

Orientación y apoyo para desarrollar, revisar o mejorar políticas, procedimientos y controles internos en respuesta a los hallazgos de auditoría o requisitos de cumplimiento. Nuestra asistencia está dirigida a establecer políticas y procedimientos claros, efectivos y conformes que se alineen con requisitos regulatorios, normas de la industria y mejores prácticas.

Servicio de Cumplimiento Continuo

Reduce el tiempo y los costos de auditoría PCI DSS con nuestro servicio basado en suscripción. Ofrecemos un método efectivo para validar PCI-DSS y acceso a un QSA durante el ciclo anual. Te guiamos en tareas periódicas para mantener el cumplimiento y estar disponibles para resolver cualquier problema o pregunta. Ajustamos nuestro programa a las necesidades específicas de su organización.

PCI DSS workshops personalizados

¿Cuánto comprende tu equipo sobre los riesgos de seguridad? Nuestros talleres de Concienciación en Seguridad combinan teoría y experiencia para ofrecer formación informativa y convincente. El objetivo es que los empleados reconozcan el valor de la información, entiendan los riesgos y actúen proactivamente para protegerla en su trabajo diario. Adaptamos los talleres al nivel de conocimiento en TI necesario.

Pruebas de Penetración de Segmentación PCI

Para cumplir con PCI, se necesitan pruebas de penetración internas y externas anuales para comerciantes y proveedores de servicios, y pruebas de segmentación anuales para comerciantes y semestrales para proveedores de servicios. Nuestros especialistas en pruebas de penetración cuentan con amplia experiencia en PCI, tanto en pruebas internas como externas, y en análisis de vulnerabilidades internas.

Asistencia con el Cuestionario de Autoevaluación (SAQ) y redacción de informes ROC

La asistencia con el SAQ implica ayudarte a comprender los requisitos del SAQ que son relevantes para su entorno específico de procesamiento de pagos, guiarle en la cumplimentación del cuestionario y ofrecerle recomendaciones para lograr el cumplimiento.

Orientación durante el proyecto de PCI

Soporte integral y experiencia para ayudar a las organizaciones a lograr y mantener el cumplimiento PCI DSS.

¿Por qué
cumplir con PCI?

Prevenir sanciones

Cumplir puede ofrecer una red de seguridad contra cuantiosas multas y rigurosos requisitos si su organización sufre una violación de seguridad.

Autoridad

El PCI SSC busca crear un campo de juego equitativo entre sus entidades y comerciantes. Únase al creciente grupo de entidades que garantizan la seguridad de los datos del titular de la tarjeta.

Integración

Legislaciones como el Reglamento General de Protección de Datos (GDPR) requieren responsabilidad sobre los datos personales. PCI DSS es uno de los caminos que se pueden elegir hacia el cumplimiento.

Mejora
continua

PCI DSS establece un marco que fomenta la revisión regular y la mejora de procesos.

Proteger
datos sensibles

Los ciberdelincuentes atacan a empresas con datos de alto valor. Prepárate contra los ciberataques.

Mantenga la confianza
y su reputación

PCI DSS es una de las certificaciones más sólidas en seguridad de la información. Asegúrese de que su organización proteja su reputación y confianza.

Cómo trabajamos

Nuestro servicio de cumplimiento PCI DSS ofrece una visión detallada de su organización desde la perspectiva de la Industria de Tarjetas de Pago. Nuestra evaluación consta de un ciclo de cuatro fases distintas que conducen al cumplimiento PCI DSS. Las cuatro fases son:

01

Análisis de alcance

En esta fase, se determina el alcance del proyecto. Junto con todos los interesados, revisamos el PCI DSS y los pasos necesarios para cumplirlo. Se hace un inventario de documentos como políticas, procedimientos, información de aplicaciones, manuales de instalación, informes de pruebas y revisiones de código fuente. Utilizamos la herramienta OpenScoping para definir un marco objetivo del alcance.

02

Preauditoría

Durante esta fase, identificamos áreas problemáticas potenciales del PCI DSS y elaboramos un plan de cumplimiento. Solicitamos la documentación pertinente de sus sistemas, los detalles técnicos de la configuración de su red y los documentos que describan sus procesos comerciales.

03

Remediación

En esta fase, se definen acciones correctivas, se realizan pruebas de penetración y se recopilan evidencias de cumplimiento. Proporcionamos un informe detallado de los problemas, el estado de cumplimiento y cualquier. necesidad de remediación. Trabajaremos juntos para resolver las áreas de incumplimiento y realizar la reevaluación.

04

Auditoría

Durante la auditoría in situ PCI DSS, revisamos muestras de sistemas con su equipo para recopilar información precisa que garantice el cumplimiento. Verificamos la evidencia y el SAQ completo. Si se necesita un Informe de Cumplimiento (RoC), se realizará la auditoría completa y se genera la Declaración de Cumplimiento (AOC).

Preguntas frecuentes

Los nuevos requisitos de la versión 4.0 tienen la designación "future-dated", lo que permite a las organizaciones completar las implementaciones necesarias más allá del período de transición.

Hasta el 31 de marzo de 2025, estos requisitos son considerados prácticas recomendadas y son opcionales.

Después de esa fecha, serán considerados obligatorios y deberán ser completamente abordados como parte de las futuras certificaciones PCI DSS.

Toda organización que maneje datos de tarjetas de pago, incluyendo comercios, proveedores de servicios e instituciones financieras, debe cumplir con los requisitos PCI DSS. El cumplimiento está establecido por redes de tarjetas de pago como Visa, Mastercard, American Express, Discover y JCB.

Las organizaciones deben conocer los requisitos del estándar, realizar un análisis de deficiencias para identificar áreas de incumplimiento, implementar controles de seguridad necesarios, y documentar evidencia de cumplimiento de su cumplimiento.

Sí, PCI DSS exige que las organizaciones realicen auditorías anuales para evaluar su cumplimiento con los estándares de seguridad y validar su estado de cumplimiento. Además, son necesarios monitoreos continuos y evaluaciones periódicas para mantener el cumplimiento a lo largo del año.

El incumplimiento con PCI DSS puede tener consecuencias graves, como sanciones financieras, responsabilidades legales, daño a la reputación, pérdida de oportunidades de negocio y la suspensión o terminación de los privilegios de procesamiento de tarjetas de pago por parte de las redes de tarjetas.