Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Cumplimiento de PCI > Uso Compartido de Archivos Cumplimiento PCI: Requisitos Esenciales y Estrategias de Cumplimiento Efectivas
PCI Compliant File Sharing Essential Requirements & Effective Compliance Strategies

Uso Compartido de Archivos Cumplimiento PCI: Requisitos Esenciales y Estrategias de Cumplimiento Efectivas

by Bob Ertl updated septiembre 4, 2024 Cumplimiento de PCI
Reading Time: 10 minutes

El cumplimiento PCI juega un papel crítico en el fortalecimiento de la integridad y seguridad de los datos de tarjetas de crédito que las empresas procesan, manejan y comparten con terceros de confianza. Cada vez que las empresas comparten estos datos, corren el riesgo de exponerlos a usuarios no autorizados. El acceso no autorizado puede presentarse de muchas formas: ataques de malware, ataques de ransomware, espionaje corporativo, entrega incorrecta, phishing y más. Estos riesgos requieren que las empresas implementen medidas de protección avanzadas que vayan más allá de las protecciones estándar de firewall. El cumplimiento PCI existe para asegurar que los datos de tarjetas de crédito estén protegidos contra el acceso no autorizado, lo que puede llevar a que estos datos sensibles sean utilizados para fraude o robo de identidad. Desde la transmisión hasta el almacenamiento, el uso compartido seguro de archivos proporciona a las organizaciones un marco de seguridad más robusto, una necesidad para demostrar el cumplimiento PCI.

Entonces, si estás buscando una solución de uso compartido de archivos que cumpla con PCI, este artículo te proporcionará los requisitos esenciales y las estrategias de cumplimiento. Una solución de uso compartido seguro de archivos que cumpla con PCI mitiga no solo el riesgo de una violación de datos, sino también el riesgo de incumplimiento, lo cual puede ser costoso a corto plazo (multas y sanciones, interrupción del negocio, litigios) pero también a largo plazo (pérdida de confianza del cliente y erosión de la marca). Por lo tanto, los riesgos de incumplimiento son sustanciales.

Visión General del Cumplimiento PCI

El Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) es un marco destinado a apoyar a cualquiera que acepte pagos mediante tarjetas de crédito o débito. Impuesto por un consorcio de procesadores de tarjetas de crédito como Visa, Mastercard y American Express, PCI DSS no está mandatado a nivel nacional, sino que es una parte integral del procesamiento de cualquier pago con tarjeta de crédito.

PCI DSS incluye 12 requisitos de seguridad:

  1. Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta
  2. No usar los valores predeterminados proporcionados por el proveedor para contraseñas del sistema y otros parámetros de seguridad
  3. Proteger los datos almacenados del titular de la tarjeta
  4. Cifrar la transmisión de datos del titular de la tarjeta a través de redes abiertas y públicas
  5. Usar y actualizar regularmente software o programas antivirus
  6. Desarrollar y mantener sistemas y aplicaciones seguras
  7. Restringir el acceso a la información del titular de la tarjeta según la necesidad de conocimiento del negocio
  8. Asignar un ID único a cada persona con acceso a la computadora
  9. Restringir el acceso físico a la información del titular de la tarjeta
  10. Rastrear y monitorear todo el acceso a los recursos de la red y los datos del titular de la tarjeta
  11. Probar regularmente los sistemas y procesos de seguridad
  12. Mantener una política que aborde la seguridad de la información para todo el personal

Los comerciantes y minoristas de tiendas físicas y de comercio electrónico a menudo son los más preocupados por PCI, y otras empresas que aceptan pagos pero que no son comerciantes a menudo emplearán procesadores de pagos de terceros que ellos mismos cumplen con PCI. Los bancos que emiten tarjetas de crédito a menudo subcontratan el procesamiento de las transacciones y requieren los niveles más altos de cumplimiento PCI del subcontratista.

Los datos del titular de la tarjeta incluyen números de tarjetas de crédito, números CVV, fechas de vencimiento, información de un chip EMV o banda magnética y cualquier dato personal sobre el titular de la tarjeta. Las sanciones por incumplimiento de PCI pueden incluir:

  1. Multas de hasta $100,000 por mes hasta que se logre el cumplimiento.
  2. Daño a tu cuenta de comerciante debido al incumplimiento, lo que puede hacer que sea costoso, si no imposible, procesar pagos con tarjeta.
  3. El impacto negativo en tu cuenta de comerciante debido a fraude o actividad de contracargo que no se detecta a través de estándares tecnológicos de cumplimiento.

Estos riesgos y sanciones son solo específicos de PCI. Una violación de datos que involucre datos del titular de la tarjeta probablemente atraería multas, sanciones y repercusiones de otras leyes de privacidad de datos de clientes, consumidores o ciudadanos como el GDPR de la UE, el CCPA de California, el BDSG de Alemania, el PIPEDA de Canadá, el DPA 2018 del Reino Unido, y muchos otros.

Aún eres responsable de demostrar el cumplimiento PCI si utilizas un procesador de pagos de terceros, ya que se les requiere demostrar el cumplimiento PCI. Eso significa que cualquier solución de uso compartido seguro de archivos o transferencia segura de archivos que tú o el procesador utilicen para intercambiar datos del titular de la tarjeta también debe cumplir con PCI.

Cómo Lograr el Cumplimiento PCI

Convertirse en compatible con PCI es un proceso de varios pasos que requiere una revisión exhaustiva de tus sistemas y procesos existentes.

El primer paso es identificar qué tipos de tarjetas de pago aceptas y cómo se procesan las transacciones. Esto requiere una evaluación de todas las diferentes partes de tu sistema, incluidos software, hardware y redes. Una vez que sepas dónde se almacenan los datos sensibles y cómo fluyen a través de tu sistema, puedes comenzar a investigar qué requisitos de PCI DSS se aplican.

El siguiente paso es evaluar cuán compatibles son tus sistemas existentes con PCI DSS. Esto generalmente requiere una revisión de todo el hardware, software y procesos que forman parte de tu sistema. Esto incluye, por supuesto, cualquier sistema, solución o aplicación utilizada para compartir o almacenar datos de tarjetas de crédito. Ejemplos de uso compartido de archivos incluyen Microsoft Outlook y Gmail, mientras que ejemplos de almacenamiento de archivos incluyen Google Drive, Microsoft OneDrive y SharePoint, Box y Dropbox. Es importante buscar cualquier debilidad en tus sistemas y soluciones que no cumplan con los requisitos establecidos por PCI DSS.

Una vez completada la revisión, puedes comenzar a implementar cualquier cambio necesario para asegurar que tu sistema cumpla con los requisitos de PCI DSS. Esto puede variar desde actualizar hardware y software hasta implementar medidas de seguridad adicionales, como firewalls o cifrado. También necesitarás asegurarte de tener una política de seguridad de datos en su lugar, que describa cómo protegerás los datos del cliente y cómo responder a una violación de datos.

Una vez que se hayan implementado todos los cambios, necesitarás probarlos y monitorearlos para asegurarte de que cumplan con los requisitos de PCI DSS y permanezcan lo más seguros posible. Este también es el momento de desarrollar un programa regular de auditoría de cumplimiento para asegurar que tu sistema permanezca en cumplimiento en el futuro.

Después de haber completado todos los pasos necesarios para volverte compatible con PCI, deberías aplicar a una de las organizaciones acreditadas del Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC). Ellos evaluarán tu sistema y te emitirán un Certificado de Cumplimiento si determinan que cumples con PCI.

Uso Compartido Seguro de Archivos y Cumplimiento PCI

El cumplimiento PCI, así como otras leyes y estándares de cumplimiento normativo, ha obligado a los proveedores de software de uso compartido de archivos a repensar fundamentalmente los protocolos de uso compartido de archivos que ahora priorizan la seguridad sobre la funcionalidad y la facilidad de uso. Estas soluciones ahora ofrecen, en diversos grados, controles integrales que cubren el cifrado y la gestión de claves, el control de acceso y evaluaciones regulares de vulnerabilidades. Una solución de uso compartido seguro de archivos que cumpla con PCI asegura que los datos del titular de la tarjeta se almacenen, procesen y transmitan a través de una red segura. Esto ofrece garantías a las empresas, empleados y clientes por igual, estableciendo un canal de comunicación seguro para datos sensibles de tarjetas de crédito.

Requisitos de Uso Compartido Seguro de Archivos para el Cumplimiento PCI

Los requisitos para los sistemas de uso compartido de archivos que cumplan con PCI se centran en protocolos de seguridad estrictos. Las organizaciones que no cumplan con estos requisitos podrían enfrentar consecuencias significativas, incluidas multas, litigios, pérdida de clientes y más en caso de una violación de datos que exponga los datos del titular de la tarjeta y la información personal identificable (PII) de los clientes. Echemos un vistazo más de cerca a algunos de los requisitos de uso compartido seguro de archivos para el cumplimiento PCI a continuación.

Cifrado de Datos para el Cumplimiento PCI

Los requisitos de cifrado de PCI DSS son medidas de protección líderes en la industria que las empresas deben implementar para proteger la información de tarjetas de crédito cuando se almacena y comparte. Los requisitos de PCI DSS para el cifrado no solo son complejos, sino también bastante matizados. Primero, el cifrado debe usarse para proteger cualquier dato clasificado como “datos de autenticación sensibles”, lo que incluye cualquier número de cuenta principal (PAN) o los datos completos de la banda magnética de la tarjeta de crédito o débito. Además, el cifrado debe cumplir con un estándar de la industria aprobado, como el cifrado AES para datos en reposo y TLS para el cifrado de datos en movimiento.

El cifrado también es necesario para cualquier dato que se envíe a través de redes públicas. Esto significa que cualquier dato que se envíe de una máquina a otra debe estar cifrado, así como cualquier comerciante que quiera aceptar pagos en línea. Todos los datos deben cifrarse cuando salen del punto de origen, así como cuando llegan a su destino. Esto incluye cualquier dato que se almacene en cualquier tipo de base de datos donde se mantenga la información personal de los clientes.

Controles de Acceso para el Cumplimiento PCI

Otro requisito principal de cumplimiento PCI para soluciones de uso compartido seguro de archivos es el uso de controles de acceso fuertes. Al emplear y hacer cumplir permisos basados en roles y controles de acceso basados en roles, las empresas aseguran que solo los empleados con una necesidad comercial deberían tener acceso a esta información sensible.

La autenticación multifactor (MFA) asegura aún más que solo los empleados autorizados tengan acceso a los datos del titular de la tarjeta para verificar la identidad del usuario. También se recomienda encarecidamente que todos los empleados que tengan acceso a la base de datos reciban tokens o contraseñas únicas que deben usarse para acceder a la base de datos.

Requisitos Adicionales de Uso Compartido Seguro de Archivos para el Cumplimiento PCI

Las organizaciones deben cumplir con varios requisitos adicionales de PCI DSS más allá del cifrado y los controles de acceso. Estos incluyen implementar un plan de respuesta a incidentes, fortalecer la seguridad de la red, realizar auditorías y verificaciones de seguridad regulares, y documentar una política detallada de seguridad de la información. Además, las empresas deben adoptar medidas de seguridad física para proteger los sistemas que contienen datos del titular de la tarjeta, requerir capacitación en concienciación para los empleados y documentar adecuadamente todos los procedimientos de seguridad.

Desafíos del Cumplimiento PCI

El cumplimiento PCI, sin embargo, viene con su propio conjunto de desafíos únicos. La complejidad y el costo asociados con la construcción de una infraestructura compatible con PCI sirven como un obstáculo significativo para muchas organizaciones, especialmente las empresas más pequeñas. Además, asegurar actualizaciones regulares y realizar auditorías sistemáticas según los estándares PCI puede ser laborioso y consumir mucho tiempo. Además, las empresas pueden caer en una trampa de complacencia o una falsa sensación de seguridad después de lograr el cumplimiento PCI. Es esencial, por lo tanto, entender que el cumplimiento PCI no es un esfuerzo único, sino un proceso continuo que requiere verificaciones constantes y mejoras periódicas.

Cómo Lograr el Cumplimiento PCI con el Uso Compartido Seguro de Archivos

Asegurar que tu solución de uso compartido seguro de archivos cumpla con PCI es crítico para las empresas, ya que asegura los datos del titular de la tarjeta, mitiga el riesgo y construye la confianza del cliente. Aquí hay algunos pasos prácticos y estrategias que las empresas deberían considerar seriamente en sus esfuerzos por lograr el cumplimiento PCI con el uso compartido seguro de archivos:

Construir y Mantener una Red Segura Crear y mantener una red segura. Instalar firewalls robustos que regulen el tráfico entre la red pública y la red interna donde se almacenan los datos sensibles. Requerir cifrado de datos durante la transmisión para proteger los datos del titular de la tarjeta. Realizar actualizaciones de software regulares y escaneos exhaustivos para detectar vulnerabilidades. Segregar redes y reforzar el sistema para fortalecer tu red. Invertir en sistemas de detección y prevención de intrusiones (IDS) que ayuden aún más a detectar y bloquear amenazas potenciales.
Proteger los Datos del Titular de la Tarjeta Los datos del titular de la tarjeta almacenados en archivos deben cifrarse de manera segura utilizando medidas criptográficas fuertes, asegurando que permanezcan ilegibles incluso si se violan. También se puede utilizar la tokenización para reemplazar la información sensible de la tarjeta con símbolos de identificación únicos, manteniendo la información esencial sin comprometer la seguridad.
Mantener un Programa de Gestión de Vulnerabilidades Realizar evaluaciones de riesgos regulares para identificar y rectificar posibles brechas de seguridad. Implementar soluciones efectivas de protección avanzada contra amenazas (ATP) y antivirus (AV) para proteger contra programas maliciosos que puedan comprometer los datos del titular de la tarjeta.
Implementar Medidas Fuertes de Control de Acceso Restringir el acceso a los datos del titular de la tarjeta solo al personal autorizado. Crear políticas de contraseñas intrincadas, implementar autenticación de dos factores o multifactor, y establecer un proceso riguroso para otorgar y revocar derechos de acceso. Adoptar una mentalidad de seguridad de confianza cero para minimizar el número de individuos que tienen acceso a datos sensibles del titular de la tarjeta.
Monitorear y Probar Redes Regularmente Monitorear y probar redes regularmente para identificar y cerrar cualquier brecha de seguridad de manera oportuna. Esto debería incluir auditorías regulares de todos los componentes del sistema, monitoreo y análisis del tráfico de la red, y realizar pruebas de penetración y evaluaciones de vulnerabilidades regularmente para identificar debilidades.
Mantener una Política de Seguridad de la Información Definir roles y responsabilidades, procedimientos para identificar y responder a posibles violaciones, y estándares para mantener y desechar los datos del titular de la tarjeta. Realizar programas regulares de capacitación en concienciación sobre seguridad para asegurar que todo el personal entienda y cumpla con estas políticas.

Uso Compartido de Archivos que Cumple con PCI y Gestión de Riesgos de Proveedores

Un proveedor de terceros puede proporcionar capacidades de uso compartido y almacenamiento seguro de archivos que cumplan con PCI mientras apoyan lo siguiente:

  1. Uso compartido seguro de archivos: Esto incluye cifrado AES-128 o AES-256 para datos en reposo y TLS 1.2 o superior para datos en tránsito.
  2. Registro de auditoría: Registros de auditoría completos proporcionan evidencia ininterrumpida de cualquier evento de seguridad para fines de diagnóstico o prevención. Asimismo, esto te da herramientas adicionales para demostrar que estás cumpliendo con los requisitos durante una evaluación o auditoría.
  3. Protección de firewall: PCI DSS requiere un firewall para proteger el acceso a los servidores, y tu solución de uso compartido seguro de archivos también debería hacerlo, incluyendo protecciones especiales para compartir a través de la barrera del firewall y proteger los datos del titular de la tarjeta.
  4. Métodos seguros de uso compartido de archivos con usuarios externos: El correo electrónico que cumple con PCI emplea cifrado y, por lo tanto, es un canal seguro y protegido para compartir datos del titular de la tarjeta y otros contenidos sensibles en cumplimiento con PCI DSS. Los formularios web seguros, carpetas y salas de datos virtuales (VDRs) también pueden usarse para compartir datos del titular de la tarjeta, siempre que cumplan con los requisitos de PCI.

Kiteworks Ayuda a las Organizaciones a Demostrar Cumplimiento con PCI DSS con Uso Compartido de Archivos que Cumple con PCI

La Red de Contenido Privado de Kiteworks, una plataforma de uso compartido seguro de archivos y transferencia de archivos validada a nivel FIPS 140-2, consolida correo electrónico, uso compartido de archivos, formularios web, SFTP, transferencia de archivos administrada, y gestión de derechos digitales de próxima generación para que las organizaciones controlen, protejan y rastrean cada archivo a medida que entra y sale de la organización.

La plataforma Kiteworks es utilizada por organizaciones para ayudarlas a cumplir con una variedad de estándares y mandatos de cumplimiento, incluyendo PCI DSS 4.0.

El cifrado certificado FIPS 140-2 mejora la seguridad de la plataforma Kiteworks, haciéndola adecuada para organizaciones que manejan datos sensibles como la información de tarjetas de pago. Además, la actividad de los usuarios finales y administradores se registra y es accesible, crucial para el cumplimiento de PCI DSS 4.0, que requiere el seguimiento y monitoreo de todo el acceso a los recursos de la red y los datos del titular de la tarjeta.

Kiteworks también ofrece diferentes niveles de acceso a todas las carpetas según los permisos designados por el propietario de la carpeta. Esta característica ayuda a implementar medidas fuertes de control de acceso, un requisito clave de PCI DSS 4.0.

Las opciones de implementación de Kiteworks incluyen en las instalaciones, alojadas, privadas, híbridas y nube privada virtual FedRAMP. Con Kiteworks, controlas el acceso a contenido sensible; lo proteges cuando se comparte externamente usando cifrado de extremo a extremo automatizado, autenticación multifactor e integraciones de infraestructura de seguridad; ves, rastreas e informas toda la actividad de archivos, es decir, quién envía qué a quién, cuándo y cómo. Finalmente, demuestras cumplimiento con regulaciones y estándares como GDPR, HIPAA, CMMC, Cyber Essentials Plus, IRAP, y muchos más.

Para obtener más información sobre Kiteworks para el cumplimiento PCI DSS 4.0, programa una demostración personalizada hoy.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks