Servicios de cumplimiento de la Norma PCI
Servicios de cumplimiento de la Norma PCI
La importancia de proteger los datos de los tarjetahabientes
Las amenazas a los datos de los titulares de las tarjetas han evolucionado considerablemente desde los primeros tiempos en que se sustraía el valor de la banda magnética y se reutilizaba para cometer fraude. Los agentes de amenazas preparan ataques contra los puntos de venta físicos (tarjeta física) y el comercio electrónico (tarjeta virtual) con programas maliciosos creados con ese fin, y los proveedores de servicios (por ejemplo, procesadores de pagos y de servicios tecnológicos o en la nube) se enfrentan a numerosas amenazas que podrían afectar a una gran cantidad de clientes.
Así mismo, el incumplimiento de la PCI DSS puede dar lugar a multas o restricciones operativas (por ejemplo, la prohibición de recibir o procesar tarjetas de pago) por parte de los bancos y las diferentes compañías operadoras de tarjetas, de modo que las entidades exigen a sus socios comerciales que mantengan el cumplimiento de la PCI DSS como parte de sus obligaciones contractuales.
La PCI DSS es una norma global aplicable a los diferentes comercios y/o proveedores de servicios de todo el mundo.
Esta norma establece un balance entre los controles de seguridad personal, de procesos y de tecnología enfocados en los sistemas, redes, instalaciones y procesos que almacenan, procesan o transmiten los datos de los titulares de las tarjetas o los diferentes entornos que podrían afectar a la seguridad de esta información. Los proveedores de tarjetas de pago, los bancos comerciales, las compañías de seguros y otras organizaciones, querrán ver que las organizaciones cumplen con el PCI DSS a través de una auditoría o de un auto-informe, dependiendo de la naturaleza del negocio y del volumen de las transacciones.
Cómo puede ayudar Mazars
Mazars aporta la combinación adecuada de conocimientos técnicos, rigurosidad en la asesoría, estrategia empresarial y experiencia de trabajo con una gran variedad de clientes para ayudarnos a comprobar que su organización cumplirá con los requisitos para proteger los datos de los tarjetahabientes y mitigar los riesgos de incumplimiento.
Con el lanzamiento de la nueva versión en 2022, PCI DSS v4.0, es el momento de prepararse para los cambios necesarios para cumplir con este estándar. Contacte a nuestro equipo de expertos para empezar con los preparativos necesarios para su organización.
Oferta de servicios
- Servicios de asesoría PCI DSS – Mazars evaluará su entorno exhaustivamente conforme a los requisitos de la PCI DSS, recabará pruebas que demuestren el cumplimiento y elaborará un Informe de Cumplimiento ROC (Report on Compliance) y un Certificado de Cumplimiento AOC (Attestation of Compliance) para que las entidades cumplan con todos los requisitos.
- Validación del cuestionario de autoevaluación SAQ (Self-Assesment Questionnaire) PCI – En el caso de las organizaciones que reúnan los requisitos para realizar un SAQ, Mazars las evaluará de forma similar a las que requieran un ROC, pero elaborará el SAQ como entregable del informe y firmará como evaluador la parte correspondiente a la certificación.
- Servicios de preparación para PCI DSS – La preparación es la clave, y Mazars puede ayudar a las organizaciones a prepararse para la auditoría, ayudándolas a identificar el alcance correcto, entender los requisitos aplicables, identificar las lagunas en el cumplimiento y a proponer estrategias para conseguirlo.
- Servicios de preparación para la versión 4.0 de PCI DSS – Se trata de una versión especializada y compacta del Servicio de Preparación que se centra específicamente en la versión 4.0 de PCI DSS. Examinará los nuevos requisitos, los cambios en las expectativas y la preparación para un nivel de esfuerzo mucho más sustancial requerido por la v4.0.
- Servicios de remediación PCI– Mazars ofrece una amplia gama de servicios de consultoría y remediación para ayudarle a solucionar las áreas de incumplimiento de la norma PCI DSS. Esto puede incluir el desarrollo o las actualizaciones de la documentación de las políticas, la orientación para mejorar las prácticas y las normativas de seguridad del sistema, los controles de seguridad de las aplicaciones o de cifrado u otros servicios ofrecidos por Mazars, incluyendo la gestión de la seguridad o las pruebas de detección.