lunes, 11 de febrero de 2008

El PCI Security Standards Council emite un cuestionario de auto evaluación

Leo vía FinancialTech Magazine que ya está disponible un nuevo cuestionario de evaluación de PCI-DSS. Para quien no conozca de que va el tema, PCI-DSS es fruto del esfuerzo del PCI Security Standards Council (PCI SSC) formado por las principales compañías emisoras de tarjetas de crédito (Visa, Mastercard, American Express, JCB y Discover), para forzar y facilitar a comercios, proveedores de servicios y bancos a reducir el riesgo de fraude con tarjetas de crédito, mediante la protección de las infraestructuras que procesan, transmiten o almacenan datos relativos a tarjetas de crédito. Cualquier organización que participe en el procesamiento, transmisión o almacenamiento de información de tarjetas de crédito queda afectada por el cumplimiento de los requerimientos que establece PCI DSS. PCI DSS cataloga a estas organizaciones en comercios o merchants (super/hipermercados, autopistas, e-commerce, agencias de viajes, etc), proveedores de servicios o service providers (ISP/ASP, pasarelas de pago, fabricantes de tarjetas, servicios de envío de tarjetas, procesadores de transacciones, etc.) y entidades financieras o acquirers (bancos, cajas de ahorro, entidades de crédito, etc.).

El PCI Security Standards Council, el organismo global de normas abiertas que suministra gestión de la norma para la seguridad de la información PCI Data Security Standard (PCI DSS) y requisitos de seguridad para los dispositivos de entrada de PIN, PCI PIN Entry Device (PED), así como para la norma de seguridad de la información para las aplicaciones de pago, Payment Application Data Security Standard (PA-DSS), anunció que se encuentra disponible a partir de ahora el Cuestionario de Auto Evaluación (SAQ) para comerciantes y proveedores de servicio.

En respuesta a estos comentarios de la industria, este nuevo SAQ incorpora actualizaciones diseñadas para reflejar la última versión 1.1 de la DSS y reemplaza una versión anterior que había estado vigente desde enero de 2005. La versión 1.1 del SAQ está disponible en la web del organismo, y consta de cuatro formularios únicos para ajustarse a distintos escenarios comerciales. Estos cuatro incluyen:
  • SAQ A: Está orientado a las necesidades de los comerciantes que han externalizado todo el almacenamiento, procesamiento y transmisión de la información del titular de la tarjeta.

  • SAQ B: Creado para satisfacer las necesidades de los comerciantes que procesan la información del titular de la tarjeta, únicamente mediante máquinas de impresión o terminales independientes de acceso telefónico.

  • SAQ C: Construido para orientarse a las necesidades de los comerciantes cuyos sistemas de aplicaciones de pago están conectados a Internet.

  • SAQ D: Diseñado para satisfacer las necesidades de todos los proveedores de servicios definidos por una marca de pago como elegibles para completar un SAQ, y de aquellos comerciantes que no entran dentro de las categorías a las que se destinan los SAQ A, B, o C.


Se puede leer la noticia completa en el artículo de FinancialTech Magazine titulado El PCI Security Standards Council emite un cuestionario actualizado de auto evaluación.
Quien quiera acceder directamente a los cuestionarios de auto-evaluación(en ingles), puede hacerlo a través del enlace PCI SSC New Self-Assessment Questionnaire (SAQ).

Las empresas españolas S21sec e Internet Security Auditors proporcinan servicios en relación a este tema.
 
;