El estándar de seguridad de datos de la industria de tarjetas de pago ( PCI DSS ) es un estándar de seguridad de la información para organizaciones que manejan tarjetas de crédito de marca de los principales esquemas de tarjetas .
El Estándar PCI es obligatorio para las marcas de tarjetas, pero lo administra el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago . El estándar fue creado para aumentar los controles sobre los datos del titular de la tarjeta para reducir el fraude con tarjetas de crédito .
La validación del cumplimiento se realiza anualmente o trimestralmente, [1] [ se necesita una mejor fuente ] mediante un método adecuado al volumen de transacciones manejadas: [2]
Las intenciones de cada uno eran más o menos similares: crear un nivel adicional de protección para los emisores de tarjetas al garantizar que los comerciantes cumplan con los niveles mínimos de seguridad cuando almacenan, procesan y transmiten datos de titulares de tarjetas. Para solucionar los problemas de interoperabilidad entre los estándares existentes, el esfuerzo combinado realizado por las principales organizaciones de tarjetas de crédito resultó en el lanzamiento de la versión 1.0 de PCI DSS en diciembre de 2004. PCI DSS se ha implementado y seguido en todo el mundo.
Luego se formó el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC), y estas empresas alinearon sus políticas individuales para crear el PCI DSS. [3] MasterCard, American Express, Visa, JCB International y Discover Financial Services establecieron el PCI SSC en septiembre de 2006 como una entidad de gobierno/administración que ordena la evolución y el desarrollo de PCI DSS. Las organizaciones independientes/privadas pueden participar en el desarrollo de PCI después del registro adecuado. Cada organización participante se une a un SIG (Grupo de Interés Especial) en particular y contribuye a las actividades ordenadas por el SIG. Las siguientes versiones de PCI DSS están disponibles: [4]
El estándar de seguridad de datos PCI especifica doce requisitos de cumplimiento, organizados en seis grupos lógicamente relacionados llamados "objetivos de control". Los seis grupos son: [5]