Este debate contiene 2 respuestas, tiene 2 mensajes y lo actualizó Avatar Armando.L hace 5 meses, 1 semana.

  • Autor
    Publicaciones
  • #49387
    Avatar
    Armando.L
    Participante

    Muy buena tarde a todos, agradezco la oportunidad que este foro me brinda para exponer nuestras dudas y convivir en un espacio de colaboración profesional, espero ser de utilidad, tengo 8 años de experiencia en ciberseguridad (en instituciones financieras), así que si en algo puedo servirles no duden en contactarme, ahora bien, a lo que voy: Estamos elaborando una auditoría a los canales que brindan servicios transaccionales a los clientes a través de internet (p.e. banca por internet, banca para empresas) en la cual revisamos aspectos riesgo tecnológico y operacional, ¿existe una certificación o algún elemento de PCI DSS que pueda solicitar a los responsables de seguridad de la institución?

    Adicionalmente, ¿qué elementos de PCI puedo revisar para validar su cumplimiento en ATMs?

    Muchas gracias por su apoyo.

  • #49436
    David Acosta
    David Acosta
    Participante

    Buenas tardes Armando y muchas gracias por tu participación. Estoy seguro que podrás apoyarnos en las dudas que vayan surgiendo por el foro o, si te animas, puedes colaborar con un artículo para publicarlo en el portal.

    Respecto a tu duda, los bancos deben cumplir con PCI DSS, sin ninguna excepción. Solamente, su forma de reportar el cumplimiento depende de lo que le indiquen las marcas de pago. Puedes encontrar más información en el artículo «En relación con el incidente de robo de tarjetas ocurrido en Chile, ¿Los bancos afectados deberían cumplir con PCI DSS?» https://www.pcihispano.com/en-relacion-con-el-incidente-de-robo-de-tarjetas-ocurrido-en-chile-los-bancos-afectados-deberian-cumplir-con-pci-dss/

    Siendo así, todos los canales transaccionales por los que se procesen, almacenen y/o transmitan datos de tarjetas de pago estarán dentro del entorno de cumplimiento de PCI DSS. Entre estos canales tenemos banca telefónica, banca online, atención presencial en oficinas (incluyendo impresión y almacenamiento de documentación en papel, el software de terminal financiero, etc.), preparación, personalización y estampación de tarjetas, cajeros electrónicos, datáfonos, sistemas de conciliación, etc. Este tipo de proyectos suelen ser bastante complejos, debido a que en las entidades financieras los datos de tarjetas de pago suelen estar en casi todos los procesos operativos. Por ello, lo que se suele hacer es analizar canales de forma independiente y secuencial con base en el riesgo para no afectar la operación diaria.

    También comentar que las entidades financieras que gestionen datos de PIN también estan sujetas al cumplimiento del estándar PCI PIN (https://www.pcihispano.com/publicada-la-version-3-0-del-estandar-pci-pin-security-requirements-and-testing-procedures/).

    Respecto al tema de cajeros (ATM), aplica tanto PCI DSS (por el dato del PAN) como PCI PIN (por el dato del PIN). Adicionalmente, el PCI SSC publicó ya hace varios años un suplemento informativo para ATM (Information Supplement: ATM Security Guidelines) que puedes encontrar aquí https://www.pcisecuritystandards.org/pdfs/PCI_ATM_Security_Guidelines_Info_Supplement.pdf y que incluye recomendaciones de seguridad en general.

    Espero que esta información te sirva.

  • #49449
    Avatar
    Armando.L
    Participante

    Agradezco tu pronta respuesta, revisaré la información y le daré una revisada a la información que me indicas, seguramente los estaré molestando nuevamente.

Debes estar registrado para responder a este debate.