CyberGlossary

Cumplimiento y marcos

PCI DSS

También conocido como: Payment Card Industry Data Security Standard, PCI

Definición

Estándar global de seguridad de la información para organizaciones que almacenan, procesan o transmiten datos de tarjetas de pago, gestionado por el PCI Security Standards Council.

El Payment Card Industry Data Security Standard (PCI DSS) es un estándar contractual obligado por la industria que aplica a cualquier organización que almacene, procese o transmita datos de titulares de tarjeta de las principales marcas (Visa, Mastercard, American Express, Discover, JCB). La versión 4.0.1 actual define 12 requisitos de alto nivel y varios cientos de subrequisitos sobre seguridad de red, cifrado, control de acceso, gestión de vulnerabilidades, registro y políticas. El nivel de cumplimiento (1 a 4) depende del volumen de transacciones y determina si la organización completa un cuestionario de autoevaluación o un Report on Compliance auditado por un QSA.

Ejemplos

  • Un comercio de Nivel 1 que se somete a una evaluación anual presencial por un QSA.
  • Un procesador de pagos que implementa cifrado punto a punto y tokenización para reducir el alcance.

Términos relacionados