PCI del mundo real: ¿qué necesitamos realmente, qué tan difícil es realmente y cuánto cuesta realmente?

Como se ha mencionado varias veces, hay muchas variables a considerar. Cosas como: ¿estás tratando de ser compatible con PCI DSS o necesitas ser compatible con PA DSS? Si solo se trata de PCI DSS, verás el SAQ D que se puede encontrar aquí: (PCI DSS, PA-DSS, estándares PED, pautas de cumplimiento y más) ¡Eso es monstruoso!

Entonces, la siguiente pregunta es ¿cuántos de los requisitos de SAQ D ya tienes? ¿Cuánto puede cubrir con recursos internos? ¿Cuánto necesitará externalizar?

Si es principalmente interno, ¿cuántas personas trabajarán en él (costo de mano de obra) y qué nuevo hardware y software se requerirá (costo de bienes)? La cantidad de personas que tiene trabajando en él y su nivel de familiaridad con las Pautas de cumplimiento de PCI también determinarán el período de tiempo.

Si está subcontratando, los costos pueden variar enormemente. Una vez más, dependiendo de cuánto esté subcontratando, cuáles son sus métodos de facturación, de cuántas maneras acepta tarjetas de crédito (en persona, por teléfono, en línea), cuántos contratistas trabajarán en ella, cuál es el nivel de experiencia de esos contratistas es, etc.

Puede ser que formes parte de una gran organización que pueda apuntalar fácilmente los recursos y la mano de obra para lograr esto sin esfuerzo. Pero también tenga en cuenta que debe volver a verificar esto cada año. Y las regulaciones de cumplimiento de PCI cambian de vez en cuando. Si realmente es una organización grande, puede considerar contratar a alguien a tiempo completo para que se encargue de su cumplimiento y realice un seguimiento de los cambios a medida que Visa y Mastercard los hagan. Si no es una organización grande, mi consejo sería reducir su alcance a través de un proveedor de pagos compatible con PCI. Es casi imposible pensar que un proveedor de pagos que le brinde mitigación de cumplimiento de PCI será más costoso que tratar de cumplir con SAQ D por su cuenta.

Related Content

¿Cómo puede alguien hackear tu información, si estás en la misma red WiFi?

¿Cómo se detecta un virus informático por un software antivirus?

¿Puede un hacker ingresar a un sistema sin conocer la contraseña de administrador?

¿Es esencial una certificación CCNA (redes y enrutamiento) para una carrera de seguridad de la información?

Cómo comenzar mi carrera en seguridad de redes

Sí, el cumplimiento de PCI puede ser “demasiado difícil” y “muy costoso”, pero no tiene por qué serlo. Veamos lo que dice el abogado de PCI “Cualquier sistema que almacene, procese o transmita datos de titulares de tarjetas está dentro del alcance de PCI”. Esas tres palabras clave son en lo que realmente debes concentrarte. Como comerciante, ¿qué sistemas y procesos tengo que “almacenen, procesen o transmitan” los datos del titular de la tarjeta. Y más específicamente, los “números de tarjeta de crédito” definen los datos del titular de la tarjeta. Una vez que elimine el número de tarjeta de crédito (PAN – Número de cuenta principal), el resto de los datos ya no son datos de la tarjeta de crédito.

Esta es la razón por la que la tokenización es una gran solución para lograr el cumplimiento de PCI. Teniendo en cuenta que no todas las soluciones de tokenización se crean por igual ni todas ofrecen el mismo nivel de funcionalidad.

Ahora Tokenization ayuda a lograr la seguridad posterior a la autorización de los datos del titular de la tarjeta porque ya no son datos del titular de la tarjeta. La siguiente pregunta es, ¿cómo me deshago de los datos de autorización previa? Aquí es donde las tecnologías involucradas P2PE entran en juego para cifrar los datos del titular de la tarjeta en el punto de entrada y eliminarlos del entorno del comerciante.

Las diferentes soluciones vienen con diferentes etiquetas de precio y, en última instancia, la pregunta se reduce a qué tan lejos está dispuesto a llegar y qué tan pequeño quiere hacer su huella PCI.

Sainath Gupta

Para ser sincero, depende de la arquitectura, la necesidad, su QSA y su equipo técnico.
La certificación en la India generalmente es de alrededor de $ 6000, debido a que mi equipo fundador es altamente técnico y gracias al uso del innovador sistema de tokenización, nuestros costos de infraestructura fueron inferiores a $ 10000.

Victor Schröder

Es difícil. Tienes que saber lo que hay que hacer y lo mejor es consultar quién ya lo había hecho antes

Sainath Gupta

More Interesting

¿Cómo encriptan los administradores de contraseñas?

¿Cómo es que Stack Exchange no utiliza una conexión segura (TLS) a pesar de que es un sitio web popular con una comunidad activa de usuarios?

¿Qué tan peligroso es visitar un sitio web malicioso?

¿Qué pasaría si alguien piratea el lenguaje de programación C? ¿Qué pasa si piratearon los compiladores?

En lenguaje simple, ¿cómo funcionan las contraseñas? ¿Cómo rechaza una aplicación la contraseña incorrecta?

¿Qué es un ingeniero de seguridad?

En ciberseguridad, ¿cuál es el marco NIST?

Hackers: ¿Fue Facebook responsable de la violación de seguridad de Twitter?

¿Qué es el acoso cibernético?

Estoy trabajando en una de las empresas de software. Me gustaría seguir mi carrera en ciberseguridad. ¿Podría alguien ayudarme por dónde empezar?

¿Cuál es la diferencia entre el especialista en seguridad de la información y el especialista en seguridad de la red? ¿Ambas están bajo el dominio 'seguridad cibernética'?

¿Por qué Linux y Mac OS X rara vez se infectan con virus y malware de modo que el software antivirus no se recomienda comúnmente?

¿Cuál es la mejor opción para obtener capacitación en tendencias tecnológicas en línea intermedias / avanzadas (big data, IoT, seguridad cibernética) de forma barata o gratuita?

¿Puede Raid 0 actuar como medida de seguridad?

¿Quién audita la infraestructura de PCI ASV y QSA? ¿Quién mira a los observadores?