PCI 

Cumplimiento PCI 

 La seguridad del comercio electrónico es una prioridad para TPL. Para garantizar esto, estamos orgullosos de cumplir plenamente con el estándar PCI DSS. En un esfuerzo creciente por preservar la integridad de la información personal, el PCI Security Standards Council ha establecido una serie de regulaciones que las empresas en línea deben seguir para garantizar la seguridad de las compras en línea. TPL ha cumplido y superado con éxito todos los estándares establecidos por el PCI Security Standards Council – hemos demostrado que nuestra gestión de seguridad, nuestras políticas de seguridad, nuestra arquitectura de red y el diseño de nuestro software están protegidos y libres de cualquier vulnerabilidad que pueda afectar sus ventas en línea. 

 ¿Qué es el cumplimiento PCI? 

El Payment Card Industry Data Security Standard (PCI DSS) es un conjunto de políticas y procedimientos ampliamente aceptados, diseñados para optimizar la seguridad de las transacciones con tarjetas de crédito, débito y prepago, y proteger a los titulares de tarjetas contra el uso indebido de su información personal. El PCI DSS fue creado conjuntamente en 2004 por cuatro de las principales compañías de tarjetas de crédito: Visa, MasterCard, Discover y American Express. 

 El PCI DSS establece y detalla seis objetivos principales. 

 Primero, se debe mantener una red segura en la que se puedan realizar transacciones. Este requisito implica el uso de cortafuegos lo suficientemente robustos como para ser efectivos sin causar inconvenientes innecesarios a los titulares de tarjetas o a los comerciantes. Existen cortafuegos especializados para redes inalámbricas (Wi-Fi), que son altamente vulnerables a la interceptación y ataques de hackers malintencionados. Además, los datos de autenticación, como números de identificación personal (PIN) y contraseñas, no deben utilizar valores predeterminados proporcionados por los proveedores. Los clientes deben poder cambiar estos datos de manera conveniente y frecuente. 

 Segundo, la información de los titulares de tarjetas debe estar protegida en todo momento, sin importar dónde se almacene. Los repositorios que contienen datos sensibles, como fechas de nacimiento, apellidos de soltera de las madres, números de seguridad social, números de teléfono y direcciones postales, deben estar protegidos contra el acceso no autorizado. Cuando los datos de los titulares de tarjetas se transmiten a través de redes públicas, deben ser cifrados de manera efectiva. El cifrado digital es esencial en todas las transacciones con tarjetas de crédito, pero especialmente en el comercio electrónico por Internet. 

 Tercero, los sistemas deben estar protegidos contra actividades de hackers malintencionados mediante el uso de software antivirus actualizado con frecuencia, programas anti-spyware y otras soluciones anti-malware. Todas las aplicaciones deben estar libres de errores y vulnerabilidades que puedan ser explotadas para robar o modificar los datos de los titulares de tarjetas. Las actualizaciones y parches de seguridad proporcionados por los proveedores de software y sistemas operativos deben instalarse regularmente para garantizar el mayor nivel posible de protección contra vulnerabilidades. 

 Cuarto, el acceso a la información y a las operaciones del sistema debe ser restringido y controlado. Los titulares de tarjetas no deberían proporcionar información a las empresas a menos que sea estrictamente necesario para garantizar la protección de las transacciones y su correcta ejecución. Cada persona que utilice un ordenador dentro del sistema debe tener un nombre de identificación único y confidencial. Los datos de los titulares de tarjetas deben protegerse tanto física como electrónicamente. Algunos ejemplos incluyen el uso de destructoras de documentos, la reducción de la duplicación innecesaria de documentos en papel y el uso de cerraduras y cadenas en los contenedores de basura para evitar el acceso de delincuentes que puedan buscar información confidencial. 

 Quinto, las redes deben ser monitoreadas constantemente y sometidas a pruebas periódicas para garantizar que todas las medidas y procesos de seguridad estén implementados, funcionen correctamente y se mantengan actualizados. Por ejemplo, los programas antivirus y anti-spyware deben actualizarse con las últimas definiciones y firmas. Estos programas deben escanear frecuentemente, si no de manera continua, todos los datos intercambiados, todas las aplicaciones, la memoria RAM y todos los medios de almacenamiento. 

 Sexto, se debe definir, mantener y seguir en todo momento una política formal de seguridad de la información por parte de todas las entidades involucradas. Podrían ser necesarias medidas de aplicación, como auditorías y sanciones por incumplimiento.