La misión de Secureframe es ayudar a cada organización a construir confianza con sus clientes comunicando una postura de seguridad sólida. La forma más rápida de perder la confianza del cliente es manejando mal sus datos, por eso nos enfocamos intensamente en facilitar que las empresas de cualquier tamaño identifiquen preventivamente los riesgos y cumplan con los estándares de cumplimiento global más rigurosos.

Hasta la fecha, hemos ayudado a cientos de empresas a recibir informes limpios de SOC 2 e ISO 27001 y estamos añadiendo constantemente nuevos marcos. El año pasado añadimos el cumplimiento con HIPAA y hoy, nos entusiasma anunciar nuestro apoyo al informe de cumplimiento del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-RoC). Con esta nueva oferta, los comerciantes y proveedores de servicios que procesan, almacenan o transmiten datos de tarjetas de crédito pueden lograr y mantener el cumplimiento con PCI DSS más rápido y con menos trabajo manual.

¿Qué es PCI DSS?

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un conjunto de estándares de seguridad desarrollado por Visa, MasterCard, JCB International, Discover y American Express. PCI DSS se aplica a cualquier organización que acepte, procese o transmita información de pago.

Creado en 2004, el cumplimiento con PCI DSS es considerado la mejor manera de asegurar los datos confidenciales de transacciones contra el robo o fraude y construir confianza con los clientes. El marco actualmente consta de 6 objetivos principales, 12 requisitos y aproximadamente 300+ controles.

Lista de requisitos de PCI DSS

¿Qué es un PCI-RoC?

Un RoC, o Informe de Cumplimiento, detalla cómo la postura de seguridad, el entorno y los sistemas de una organización protegen los datos del titular de la tarjeta. Es el producto de una auditoría en sitio y revisión de controles realizada por un asesor de seguridad calificado (QSA). Los informes son válidos por un año y deben renovarse con auditorías anuales.

Junto con una auditoría anual, todos los comerciantes y proveedores de servicios deben realizar un escaneo de red externa trimestral (también conocido como escaneo ASV) y completar el formulario de Atestación de Cumplimiento (AoC).

Los escaneos de red externos deben ser realizados por un Proveedor de Escaneo Aprobado (ASV) por PCI trimestralmente. Los ASV realizan escaneos de vulnerabilidad para descubrir malware y otras amenazas a la red.

La Atestación de Cumplimiento (AoC) por PCI es un formulario que los comerciantes y proveedores de servicios utilizan para atestiguar su cumplimiento con los requisitos de PCI DSS. Esta declaración escrita es completada por un asesor de seguridad calificado verificando que su organización ha completado la evaluación PCI y se considera conforme.

¿Califica su organización para PCI-RoC?

Hay dos tipos de cumplimiento de PCI DSS: uno para comerciantes y otro para proveedores de servicios.

• Los comerciantes son organizaciones que aceptan pagos con tarjeta a cambio de bienes y servicios.
• Los proveedores de servicios son organizaciones que procesan datos de titulares de tarjetas en nombre de otra empresa.

También hay múltiples niveles de cumplimiento de PCI DSS basados en el número de transacciones con tarjetas de crédito, débito y prepago procesadas anualmente.

Niveles de PCI DSS según el tipo de organización y el número de transacciones por año

PCI-RoC se aplica a las organizaciones del Nivel 1 de Comerciantes y del Nivel 1 de Proveedores de Servicios. Así que, califica para PCI-RoC si usted es:

1. Comerciante de PCI DSS Nivel 1 - Su organización acepta pagos con tarjeta a cambio de bienes y servicios Y procesa más de 6 millones de transacciones por año
2. Proveedor de Servicios de PCI DSS Nivel 1 - Su organización procesa datos de titulares de tarjetas en nombre de otra empresa Y procesa más de 300 mil transacciones por año

Automatice su PCI-RoC

Nos complace anunciar el lanzamiento de nuestro nuevo marco, que simplifica el proceso de PCI-RoC mientras ofrece una seguridad de primera clase para los datos de titulares de tarjetas. Si su empresa procesa, almacena o transmite información de tarjetas de crédito, y sería clasificada como un comerciante de Nivel 1 o proveedor de servicios, ahora puede proteger los datos de los clientes y volverse compatible con PCI con Secureframe.

Con Secureframe ayudándole con su auditoría, usted logrará:

Crear sus políticas de privacidad y seguridad de PCI

Seleccione entre más de 40 plantillas de políticas, adáptelas a su empresa y publíquelas para que sus empleados las revisen.

Capacitar a sus empleados sobre PCI y prácticas recomendadas de codificación segura

Rastree que su equipo haya completado su capacitación de concienciación sobre la seguridad PCI y haya aceptado las políticas a través de un solo panel de control.

Automatizar la recolección de evidencias de PCI

Reúna evidencias y mantenga el cumplimiento con los más de 300 requisitos de PCI. Verifique fácilmente las brechas de seguridad con nuestros informes automatizados.

Evaluar y monitorear los controles de PCI

Monitoree continuamente sus controles de PCI para asegurarse de que está protegiendo los datos de los titulares de tarjetas utilizando nuestras más de 125 integraciones

¿Listo para empezar?

Elimine las conjeturas del PCI-RoC, obtenga orientación experta en cada paso y agilice el proceso de cumplimiento con Secureframe.

Si está interesado en hacerse compatible con PCI DSS, agende una demostración para obtener más información.