T I C   D E F E N S E

Servicios PCI DSS

PCI DSS

  • TIC Defense está acreditada por el PCI SSC, a través de su certificado QSA, para realizar las auditorías anuales onsite a todas aquellas empresas que por su volumen de transacciones anual (varía en función de la marca de tarjetas de crédito) lo requieran.
  • El estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) es una serie de requisitos que aseguran que las empresas que almacenan, procesan o transmiten información de tarjetas de crédito, proporcionan un ambiente seguro para los datos de sus clientes.
  • PCI DSS es el resultado del PCI Security Standards Council (PCI SSC) formado por las principales compañías emisoras de tarjetas de pago (Visa, Mastercard, American Express, JCB y Discover), para forzar y facilitar a comercios, proveedores de servicios y bancos a reducir el riesgo de fraude con tarjetas de crédito.
  • PCI DSS definido por PCI SSC, incluye los requerimientos o controles con el fin de proteger los datos sensibles utilizados en una transacción con tarjetas débito o crédito, en los procesos de autorización, autenticación, transmisión, captura, almacenamiento entre otros, realizados en los diferentes componentes por donde la transacción transita.
  • Estas normas que protegen un ecosistema de pagos con tarjetas que mueve trillones (miles de billones) de dólares al año en todo el planeta, pueden ser utilizadas para proteger transacciones que realicen cualquier tipo de transferencia de valor.
  • PCI DSS cataloga a estas organizaciones en comercios o merchants (super/hipermercados, autopistas, e-commerce, agencias de viajes, etc), proveedores de servicios o service providers (ISP/ASP, pasarelas de pago, fabricantes de tarjetas, servicios de envío de tarjetas, procesadores de transacciones, etc.) y entidades financieras o acquirers (bancos, cajas de ahorro, entidades de crédito, etc.).
  • TIC Defense, con su experiencia en consultoría y auditoría en seguridad de la información, está en disposición de ayudar a todas aquellas organizaciones que están obligadas a definir y mantener un programa de cumplimiento de los requerimientos exigidos por PCI DSS
  • En el proceso de auditoría se verifica que los requerimientos establecidos en PCI DSS se están cumpliendo. Y para todos aquellos puntos que no se cumplen se define el plan de acción para solventar las no conformidades.
  • Consulta las empresas autorizadas por PCI

PCI DSS (BENEFICIOS)

GESTIÓN DE NUEVOS RIESGOS
El estándar PCI DSS exige implantar procedimientos para controlar y monitorear los riesgos existentes de manera periódica, lo cual nos va a llevar a estar al día de las vulnerabilidades existentes en nuestro entorno, así como de las amenazas potenciales que pueden explotar dichas vulnerabilidades, para poder establecer así las contramedidas necesarias para la disminución de dicho riesgo.
CLIMA DE SEGURIDAD
Cumpliendo con el estándar PCI DSS, aplicaremos diversos controles periódicos para asegurar la seguridad del entorno, cosa que va a llevar a nuestros empleados a tomar consciencia sobre la importancia de proteger los datos de tarjeta, y a realizar de manera adecuada las acciones relacionadas que dependan de ellos. Hay que recordar que la ingeniería social es una de las técnicas más utilizadas para atacar a una empresa, con lo que conseguir dicho clima de seguridad con nuestros empleados va a ser un beneficio más que notable para nuestra entidad.
CONTROL DE PROVEEDORES
Uno de los requerimientos del estándar PCI DSS hace referencia a la gestión y monitoreo de los proveedores implicados en nuestro entorno de cumplimiento. Implantando dicho control, nos aseguraremos que la externalización de un servicio en nuestro entorno no disminuye el nivel de seguridad del mismo, sino que éste se mantiene a un nivel constante y adecuado.
GESTIÓN DE INCIDENTES
Como hemos podido observar, a pesar de que el cumplimiento de la PCI DSS es una tarea compleja y que requiere una cierta inversión inicial, también aporta numerosos beneficios a la entidad afectada, lo cual sin duda conlleva un retorno de la inversión (ROI) positivo y destacado.
SEGURIDAD
Si una entidad alcanza el cumplimiento de dicho estándar, se garantiza que el diseño e implementación de su entorno aporta un nivel de seguridad óptimo, tanto a nivel de arquitectura técnica (estructura de red, configuración de equipos, procedimientos técnicos, etc.) como a nivel de procedimientos operativos de gestión. Por lo tanto, si se desea reducir el riesgo de sufrir un ataque dirigido a robar los datos de tarjeta tratados en un entorno, sin duda PCI DSS es nuestra mejor aliada.
ESTRATEGIA DE NEGOCIO
Si un cliente puede escoger entre facilitar sus datos de tarjeta a una entidad que le da garantías de seguridad a la hora de tratar sus datos sensibles y otra que no lo hace, está claro que la primera entidad tendrá más puntos a la hora de conseguir el cliente. Por lo tanto, diferenciar a una empresa de la competencia y obtener ventajas competitivas es otro de los beneficios de cumplir con el estándar PCI DSS.
IMAGEN DE MARCA
No hay nada mejor transmitir a tus futuros clientes la confianza en el tratamiento de sus datos sensibles por parte de tus servicios que demostrar el cumplimiento de dicho estándar. El cumplimiento de la PCI DSS por parte de una empresa puede conllevar a una mejora de la imagen de su marca, ya que los clientes se darán cuenta que la entidad se preocupa e invierte en medidas de protección para sus datos más sensibles.
MONITOREO Y CONTROL DE NEGOCIO
El estándar cuenta con varios requerimientos relacionados con el monitoreo del entorno de cumplimiento, como pueden ser por ejemplo los relativos a la gestión de cambios, la revisión de registros de auditoría, las revisiones de seguridad técnicas periódicas, etc. Con el conjunto de dichos controles vamos a conseguir la obtención de más control sobre nuestro negocio, cosa que sin duda es otro de los beneficios destacados de PCI DSS.

METODOLOGÍA

TIC DEFENSE cuenta con una metodología especializada que permite realizar la Adaptación de aplicabilidad de PCI DSS de manera eficiente y rápida, permitiendo realizar los procesos de Auditoría armónicamente de la Organización del nivel de cumplimiento en materia de protección de datos de titulares de tarjeta de acuerdo a la norma PCI DSS.
Para llevar a cabo un proyecto de estas características, se considera necesario realizar una estrategia en 2 grandes bloques, para asegurar el éxito del proyecto:
Las empresas Qualified Security Assessor (QSA) son organizaciones que han sido calificadas por el Council para que sus empleados, puedan evaluar el cumplimiento del estándar PCI DSS de las organizaciones. Los QSA son empleados de estas organizaciones que han sido certificado por el Council para validar la adherencia de una entidad a PCI DSS.
La estructura y metodología empleadas son de vital importancia para la consecución del éxito de este tipo de proyectos. Durante las jornadas de trabajo se cubrirán los siguientes aspectos:
  • Entender el entorno y los procesos donde se procesan, transmiten y almacenan datos de tarjeta de crédito/débito.
  • Correlacionar los controles de la normativa PCI-DSS con los controles que dispone la Organización para asegurar que cumple con las medidas de seguridad adecuadas.
  • Realización del Plan de acción y la estrategia a seguir para llegar a cumplir con la normativa PCI-DSS y ayudar en el asesoramiento del plan de remediación y su correcta validación por una empresa QSA.
  • Realización de la auditoría PCI-DSS Nivel 1 para disponer frente a terceros de la certificación PCI-DSS.

¿POR QUÉ SELECCIONAR A TIC DEFENSE COMO TU QSA?

Por nuestras capacidades, experiencia y valores agregados

NUESTRA EXPERIENCIA

  • Contamos con más de 4 años de experiencia comprobable en implementación, alineación y auditorias de PCI DSS a diferentes sectores privados y públicos.
  • TIC Defense, con su experiencia en consultoría y auditoría en seguridad de la información, está en disposición de ayudar a todas aquellas organizaciones que están obligadas a definir y mantener un programa de cumplimiento de los requerimientos exigidos por PCI DSS.

NUESTROS COLABORADORES Y ASOCIADOS

  • Consultores con más de 15 años de experiencia comprobable en ecosistemas financieros, medios, canales, comercio electrónico y sistemas de pago, autorización y aseguramiento de transacciones, evaluación de riesgos punta a punta, seguridad CORE BANCARIO, sistemas de transferencias SWIFT, SPEI y SPID.
  • Consultores certificados en los más altos estándares y/o en buenas prácticas internacionales en:
    • PCI QSA, PCI PCIP, PMP, ITIL, COBIT, LA ISO 27032, LA ISO 27001, LA ISO 31000, LA ISO 22301, CISSP, CISA, CISM, CRISC, CDPSE, CEH, OSCP, OSWP, OPSA, CND, CHF, GPEN, GAPT, GCFA, ENTRE OTRAS

SERVICIO ASEGURADO

Nuestros servicios de PCI DSS QSA que ofrecemos están asegurados por una suma mayor a 2 millones de dólares:
  • Seguro de Responsabilidad Civil y Crime
  • Seguro de protección de datos y seguridad informática
  • Seguro de protección de empresas frente a delitos informáticos

VALORES AGREGADOS

  • Auto-assessment de evaluación de riesgos de seguridad de la información considerando PCI DSS e ISO 27001, con interpretación de expertos
  • Ofrecemos acompañamiento, procesos y tecnología para acelerar su proceso de cumplimiento
  • Ofrecemos una plataforma de gestión dinámica para todo el proyecto de PCI DSS
  • Para México y LATAM ofrecemos soporte en idioma español
Por nuestras competencias certificadas, reconocimientos y alianzas estratégicas
PCI CERT
ACREDITACIÓN COMO PCI DSS QSA

El estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS ) es una serie de requisitos que aseguran que las empresas que almacenan, procesan o transmiten información de tarjetas de crédito, proporcionan un ambiente seguro para los datos de sus clientes.
www.pcisecuritystandards.org

PCI CERT
CERTIFICACIÓN GLOBAL CREST EN LA ESPECIALIDAD DE PENTEST.

CREST trabaja para brindar a las organizaciones la confianza de que están contratando personas calificadas con conocimientos, habilidades y competencia actualizados sobre las últimas vulnerabilidades y técnicas utilizadas por atacantes reales.
www.crest-approved.org

PCI CERT
EQUIPO DE RESPUESTA A INCIDENTES CIBERNÉTICOS ACREDITADO

Acreditación como National Computer Security Incident Response Teams (CSIRTs) por el Instituto de Ingeniería de Software (SEI) de la Universidad Carnegie Mellon www.sei.cmu.edu

Acreditación como Equipos de Ciberseguridad y Gestión de Incidentes Españoles por www.csirt.es

Acreditación como Incident Response and Security Teams por the global Forum of Incident Response and Security Teams www.first.org

Interpol
ALIANZAS INTERNACIONALES DE COLABORACIÓN

International Association of Financial Crimes Investigators www.iafci.org

Protocolo de colaboración con el grupo de trabajo de las Américas de INTERPOL de jefes de unidades de lucha contra la ciberdelincuencia en latam.

Interpol
CERTIFICACIÓN EN CUATRO NORMAS ISO EN MÁS DE 10 PROCESOS ESPECIALIZADOS DE SEGURIDAD DE LA INFORMACIÓN
reconocimientos
RECONOCIMIENTOS
https://www.ticdefense.com/