Volver
Formación Ciberseguridad | Cyber security para Empresas | MetaCompliance

Productos

Descubra nuestro conjunto de soluciones personalizadas de formación en concienciación sobre seguridad, diseñadas para capacitar y educar a su equipo frente a las ciberamenazas modernas. Desde la gestión de políticas hasta simulaciones de phishing, nuestra plataforma dota a su plantilla de los conocimientos y habilidades necesarios para proteger su organización.

Cyber security eLearning

Ciberseguridad eLearning Explore nuestra galardonada biblioteca de eLearning, adaptada a cada departamento

Automatización de la concienciación sobre la seguridad

Programe su campaña anual de sensibilización en unos pocos clics

Simulación de suplantación de identidad

Detenga los ataques de phishing en seco con el galardonado software de phishing

Gestión de políticas

Centralice sus políticas en un solo lugar y gestione sin esfuerzo los ciclos de vida de las políticas

Gestión de la privacidad

Controle, supervise y gestione el cumplimiento con facilidad

Gestión de incidentes

Tome el control de los incidentes internos y corrija lo que importa

Volver
Industria

Industrias

Explore la versatilidad de nuestras soluciones en diversos sectores. Desde el dinámico sector tecnológico hasta la sanidad, descubra cómo nuestras soluciones están causando sensación en múltiples sectores. 


Servicios financieros

Crear una primera línea de defensa para las organizaciones de servicios financieros

Gobiernos

Una solución de concienciación sobre seguridad para las administraciones públicas

Empresas

Una solución de formación en sensibilización sobre seguridad para grandes empresas

Trabajadores a distancia

Implantar una cultura de concienciación sobre la seguridad, incluso en casa

Sector educativo

Formación en sensibilización sobre seguridad para el sector educativo

Personal sanitario

Vea nuestra concienciación sobre seguridad a medida para el personal sanitario

Industria tecnológica

Transformación de la formación en sensibilización sobre seguridad en el sector tecnológico

Conformidad con NIS2

Apoye sus requisitos de cumplimiento de Nis2 con iniciativas de concienciación sobre ciberseguridad

Volver
Recursos

Recursos

Desde carteles y políticas hasta guías definitivas y casos prácticos, nuestros recursos gratuitos de concienciación pueden utilizarse para ayudar a mejorar la concienciación sobre ciberseguridad dentro de su organización.

Concienciación sobre ciberseguridad para dummies

Un recurso indispensable para crear una cultura de concienciación cibernética

Guía Dummies de Ciberseguridad Elearning

La guía definitiva para implantar un aprendizaje electrónico eficaz sobre ciberseguridad

Guía definitiva del phishing

Educar a los empleados sobre cómo detectar y prevenir los ataques de phishing

Carteles de sensibilización gratuitos

Descargue estos carteles gratuitos para mejorar la vigilancia de los empleados

Política anti-phishing

Crear una cultura consciente de la seguridad y fomentar la concienciación sobre las amenazas a la ciberseguridad

Estudios de caso

Descubra cómo ayudamos a nuestros clientes a impulsar comportamientos positivos en sus organizaciones.

Terminología de ciberseguridad de la A a la Z

Glosario de términos de ciberseguridad

Modelo de madurez conductual en ciberseguridad

Audite su formación en sensibilización y compare su organización con las mejores prácticas

Cosas gratis

Descargue nuestros recursos de concienciación gratuitos para mejorar la concienciación sobre ciberseguridad en su organización

Volver
MetaCompliance | Formación Ciberseguridad para Empresas

Acerca de

Con más de 18 años de experiencia en el mercado de la Ciberseguridad y el Cumplimiento Normativo, MetaCompliance ofrece una solución innovadora para la concienciación del personal en materia de seguridad de la información y la automatización de la gestión de incidentes. La plataforma MetaCompliance fue creada para satisfacer las necesidades de los clientes de una solución única e integral para gestionar los riesgos de las personas en torno a la Ciberseguridad, la Protección de Datos y el Cumplimiento.

Por qué elegirnos

Sepa por qué Metacompliance es el socio de confianza para la formación en concienciación sobre seguridad

Equipo directivo

Conozca al equipo directivo de MetaCompliance

Carreras

Únase a nosotros y personalice la ciberseguridad

Especialistas en compromiso de los empleados

Facilitamos la participación de los empleados y creamos una cultura de concienciación cibernética

MetaBlog

Manténgase informado sobre los temas de formación en materia de concienciación cibernética y mitigue el riesgo en su organización.

Guía para el cumplimiento de PCI DSS

Guía para el cumplimiento de PCI DSS

sobre el autor

Compartir esta entrada

Si su empresa es responsable de los pagos con tarjeta de crédito, el cumplimiento de la norma PCI DSS es una parte esencial de la protección de los datos de las tarjetas de pago de los clientes y de la protección de su propio negocio de las consecuencias devastadoras de una violación de datos.

La desafortunada realidad es que el fraude con tarjetas de crédito sigue aumentando, y según la Red de Centinelas del Consumidor de la Comisión Federal de Comercio, los informes de fraude con tarjetas de crédito aumentaron un 104% entre el primer trimestre de 2019 y el primer trimestre de 2020.

Proteger los datos de los titulares de tarjetas nunca ha sido tan importante y la norma PCI DSS sienta las bases para mantener las estrictas medidas de seguridad necesarias para proteger estos datos sensibles. Nuestra guía sobre el cumplimiento de la norma PCI DSS explica cómo funciona esta norma, a quién se aplica y qué pasos debe seguir para cumplirla.

¿Qué es la PCI DSS?

La Norma de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS) es un conjunto de normas de seguridad diseñadas para reducir el riesgo de fraude con tarjetas de crédito y aumentar la seguridad de los datos de las tarjetas de pago. Fue fundado en 2004 por las cuatro principales compañías de tarjetas de crédito: Visa, Mastercard, Discover y American Express. El PCI DSS ha evolucionado a lo largo de los años y ahora está regulado por el PCI Security Standards Council (PCI SSC). El PCI SSC define y gestiona las normas, mientras que las empresas de tarjetas de crédito se encargan de velar por su cumplimiento.

¿A quién afecta la PCI DSS?

La PCI DSS se aplica a cualquier organización que almacene, procese o transmita datos de titulares de tarjetas. Para determinar los requisitos de cumplimiento que se aplican a las empresas individuales, el PCI SCC creó un sistema de cuatro niveles que clasifica a las empresas en función del tamaño de las transacciones y el riesgo.

Nivel 1 - Comerciantes que procesan más de 6 millones de transacciones al año, o aquellos que han tenido datos comprometidos en el pasado.

Nivel 2 - Comerciantes que procesan entre 1 y 6 millones de transacciones anuales.

Nivel 3 - Comerciantes que procesan entre 20.000 y 1 millón de transacciones al año.

Nivel 4 - Comerciantes que procesan menos de 20.000 transacciones al año.

A pesar de la creación de múltiples niveles, los requisitos siguen siendo los mismos para todos los comerciantes y proveedores de servicios, en todos los sectores.

Cumplimiento de PCI DSS

¿Cómo pueden verse comprometidos los datos de los titulares de las tarjetas?

Para acceder a los datos sensibles de los titulares de las tarjetas, los ciberdelincuentes intentarán explotar cualquier vulnerabilidad de seguridad en sus sistemas operativos y dispositivos. Esto podría ser a través de:

  • Lectores de tarjetas
  • Sistema de punto de venta
  • Base de datos del sistema de pagos
  • Redes de almacenamiento
  • Portales en línea
  • Red inalámbrica
  • Registros en papel

¿Cuáles son los 12 requisitos del cumplimiento de PCI DSS?

La DSS de la PCI contiene 12 requisitos diseñados para proteger los datos de los titulares de las tarjetas y evitar las filtraciones de datos. Estas normas no solo se aplican a los comerciantes, sino a cualquier otra empresa que almacene, procese o transmita datos de titulares de tarjetas.

1. Instalar y mantener una configuración de cortafuegos para proteger los datos de los titulares de las tarjetas.

Un cortafuegos es un dispositivo de seguridad de red que supervisa el tráfico de red entrante y saliente y decide si bloquear un tráfico específico en función de un conjunto de reglas de seguridad definidas. Es la primera línea de defensa contra las amenazas a la seguridad y debe probarse, gestionarse y actualizarse regularmente.

2. No utilice los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad

Los ciberdelincuentes suelen utilizar contraseñas y configuraciones por defecto para comprometer los sistemas. Es vital que cambie inmediatamente cualquier credencial por defecto antes de introducir nuevos sistemas en su red.

3. Proteger los datos almacenados de los titulares de las tarjetas

La protección de los datos de los titulares de tarjetas, ya sea en formato físico o digital, es crucial para cumplir con la norma PCI DSS. Los ciberdelincuentes suelen atacar los datos de los titulares de tarjetas almacenados y utilizarlos para realizar transacciones fraudulentas. Cuando los datos de los titulares de las tarjetas deban almacenarse, deberá asegurarse de que se aplican las medidas de seguridad correctas para cumplir los distintos requisitos legales, normativos y de conformidad.

4. Cifrar la transmisión de los datos de los titulares de las tarjetas a través de redes públicas y abiertas

Cuando los datos de los titulares de tarjetas se transmiten a través de redes de fácil acceso, los ciberdelincuentes pueden intentar interceptarlos. Para garantizar que los datos estén seguros y protegidos, deben ser encriptados con criptografía fuerte y protocolos de seguridad como Secure Shell (SHH), IPSec y Transport Layer Security (TLS).

5. Utilice y actualice regularmente el software antivirus

Debe instalarseun software antivirus en todos los sistemas críticos de la empresa para evitar que se introduzcan programas maliciosos en su red. Esto ayudará a proteger los datos de los titulares de las tarjetas y proporcionará una mayor protección contra los virus de nueva creación.

6. Desarrollar y mantener sistemas y aplicaciones seguros

Los ciberdelincuentes suelen aprovechar cualquier vulnerabilidad de su sistema para acceder a los datos sensibles de los titulares de las tarjetas. Los proveedores de redes publican periódicamente parches para solucionar las vulnerabilidades de seguridad, por lo que es fundamental que los aplique en cuanto se publiquen. Los parches son esenciales para mantener los sistemas actualizados, estables y a salvo del malware y otras amenazas.

7. Restringir el acceso a los datos del titular de la tarjeta por necesidad de conocimiento de la empresa

El acceso a los datos de los titulares de las tarjetas sólo debe concederse en función de la necesidad de conocerlos. Los errores de los empleados siguen siendo la principal causa de todas las violaciones de datos, por lo que deben establecerse sólidos controles de acceso para garantizar que solo se permita el acceso al personal que necesita realizar transacciones.

8. Identificar y autentificar el acceso a los componentes del sistema

A cada miembro del personal que tenga acceso a información sensible se le debe asignar una identificación única. De este modo, se podrá hacer un seguimiento de quién accede a determinados sistemas y cuándo lo hace.

9. Restringir el acceso físico a los datos del titular de la tarjeta

El acceso físico a los sistemas informáticos que contienen datos de los titulares de tarjetas debe estar restringido a los miembros del personal autorizados. Esto evitará que cualquier persona no autorizada acceda físicamente a los sistemas o haga copias impresas de los datos sensibles.

10. Seguir y controlar todos los accesos a los recursos de la red y a los datos de los titulares de las tarjetas

El acceso a los recursos de la red y a los datos de los titulares de las tarjetas debe supervisarse estrechamente, y toda la actividad debe registrarse. Este registro de auditoría puede ayudar a detectar comportamientos maliciosos y a identificar una infracción.

11. Probar periódicamente los sistemas y procesos de seguridad

Continuamente surgen nuevas vulnerabilidades, por lo que es importante probar periódicamente sus sistemas y procesos para garantizar el mantenimiento de la seguridad. La norma PCI DSS también recomienda la realización de pruebas de penetración periódicas y el uso de sistemas de detección y prevención de intrusiones para garantizar la seguridad de los datos de los titulares de las tarjetas.

12. Mantener una política que aborde la seguridad de la información para todo el personal

Debe aplicarse en toda la empresa una política de seguridad sólida que cumpla con la norma PCI DSS. Esto ayudará a establecer un estándar para lo que se espera de su personal y destacará la necesidad de la seguridad de los datos dentro de su organización.

¿Por qué es tan importante el cumplimiento de PCI DSS?

El cumplimiento de los requisitos de la PCI DSS es fundamental para poder procesar transacciones con tarjeta, proteger los datos de los titulares y reducir la posibilidad de que se produzca una infracción costosa. Aunque PCI DSS no es un requisito legal, en virtud del GDPR, los datos de las tarjetas de crédito se consideran datos personales, lo que significa que usted está legalmente obligado a mantener estos datos seguros y protegidos.

¿Qué ocurre si no cumple con la norma PCI DSS?

El incumplimiento de la norma PCI DSS puede provocar graves incidentes de seguridad, como la violación o el robo de los datos de los titulares de tarjetas. Una filtración de datos puede causar un daño irreparable a su empresa y, además de las multas, su empresa podría enfrentarse a otras consecuencias por no poder proteger los datos sensibles de los titulares de las tarjetas. Entre ellas se encuentran:

  • Mayor riesgo de que los datos de las tarjetas de pago se vean comprometidos
  • Multas y sanciones
  • Gastos de indemnización
  • Pérdida de confianza del consumidor
  • Daño a la reputación de la marca
  • Acciones judiciales: costes, acuerdos y sentencias
  • Pérdidas de empleo
  • Cese de la capacidad de procesar tarjetas de pago
  • Cerrar el negocio

Conclusión:

Los ciberdelincuentes se aprovechan del aumento de las transacciones digitales y explotan las vulnerabilidades de los sistemas para acceder a los datos sensibles de los titulares de las tarjetas. Para combatir esta actividad fraudulenta, es vital que su organización cumpla con la norma PCI DSS y tome todas las medidas necesarias para asegurar las transacciones de pago y proteger los datos de los clientes.

Para ayudar a mejorar la concienciación en materia de ciberseguridad dentro de su organización y reducir la posibilidad de una costosa violación de datos, hemos creado un recurso indispensable para implementar un cambio de comportamiento y crear una cultura de concienciación cibernética.

En esta guía Cyber Security Awareness For Dummies, aprenderá:

-Cómo implementar una campaña de concienciación sobre riesgos cibernéticos.
-Cómo mantener el impulso, el compromiso y la atención del personal hacia las amenazas de ciberseguridad.
-10 mejores prácticas de concienciación sobre ciberseguridad.

Haga clic aquí para acceder a su guía Cyber Security Awareness For Dummies.

Cyber Security Awareness Training – Otros artículos que podría encontrar interesantes