12 Oct Auditoría PCI-DSS. Caso de éxito Booking.
En este nuevo post quiero comentar mi última experiencia ayudando a una empresa de reserva de alojamientos vacacionales, en su integración con Booking para establecer una API que, entre otras, funcione de pasarela de pago entre ambas.
Auditoría PCI-DSS. Caso de éxito Booking.
El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard) o PCI DSS fue desarrollado por un comité conformado por las compañías de tarjetas (débito y crédito) más importantes, comité denominado PCI SSC (Payment Card Industry Security Standards Council) como una guía que ayude a las organizaciones que procesan, almacenan y/o transmiten datos de tarjetahabientes (o titulares de tarjeta), a asegurar dichos datos, con el fin de evitar los fraudes que involucran tarjetas de pago débito y crédito.
Las compañías que procesan, guardan o transmiten datos de tarjetas deben cumplir con el estándar o arriesgan la pérdida de sus permisos para procesar las tarjetas de crédito y débito (Perdida de franquicias), enfrentar auditorías rigurosas o pagos de multas
Los Comerciantes y proveedores de servicios de tarjetas de crédito y débito, deben validar su cumplimiento del estándar de forma periódica.
Sólo a las compañías que procesan menos de 80,000 transacciones por año se les permite realizar una autoevaluación utilizando un cuestionario provisto por el Consorcio del PCI (PCI SSC), donde yo realizo mi colaboración principalmente.
La versión actual de la normatividad (3.2)2 especifica 12 requisitos para el cumplimiento, organizados en 6 secciones relacionadas lógicamente, que son llamadas «objetivos de control.»
- Desarrollar y mantener una red segura
- Mantener un Programa de Gestión de Vulnerabilidades
- Implementar Medidas sólidas de control de acceso
- Monitorizar y probar regularmente las redes
- Mantener una Política de Seguridad de la Información
Dada mi experiencia en ISO27001 y como comparten algunas características en común con el estándar PCI DSS, estoy pudiendo acompañar en la adopción de todos los controles que nos marca la normativa, asesorando en las políticas a cumplir, proporcionando ejemplos de implementación no solo de políticas si no de controles y procedimientos que ayudan a a mis clientes no solo a interpretar la normativa sino a acelerar su implementación.
Si se encuentra con la necesidad de adoptar el estándar PCI-DSS contacte conmigo y le ayudaré de la forma más pragmática y segura para llegar a obtener el objetivo marcado.
Auditor CISA (Certified Information System Auditor)
Luis Vilanova Blanco. 911277300