Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS)
Los servicios de nube distribuida de F5 cumplen con PCI-DSS como proveedor de servicios de nivel 1
El Estándar de seguridad de datos de la Industria de Tarjetas de Pago (PCI DSS) fomenta y mejora la seguridad de datos de las cuentas de tarjetas de pago y facilita una adopción más amplia de medidas de seguridad de datos consistentes a nivel mundial. PCI DSS proporciona una base de requisitos técnicos y operativos diseñados para proteger los datos de las cuentas. Si bien está diseñado específicamente para centrarse en entornos con datos de cuentas de tarjetas de pago, PCI DSS también se puede utilizar para proteger contra amenazas y proteger otros elementos del ecosistema de pago.
PCI DSS está destinado a todas las entidades que almacenan, procesan o transmiten datos del titular de la tarjeta (CHD) y/o datos de autenticación confidenciales (SAD) o que podrían afectar la seguridad del entorno de datos del titular de la tarjeta (CDE). Esto incluye todas las entidades involucradas en el procesamiento de cuentas de tarjetas de pago, incluidos comerciantes, procesadores, adquirentes, emisores y otros proveedores de servicios.
El cumplimiento de PCI DSS también garantiza que las empresas adhieran a las mejores prácticas de la industria al procesar, almacenar y transmitir datos de tarjetas de crédito. A su vez, el cumplimiento de PCI DSS fomenta la confianza entre los clientes y las partes interesadas.
PCI DSS comprende un conjunto mínimo de requisitos para proteger los datos de las cuentas y puede mejorarse con controles y prácticas adicionales para mitigar aún más los riesgos. La siguiente tabla enumera los requisitos de PCI DSS a un alto nivel. F5 califica como Proveedor de Servicios de Nivel 1 y, si bien no procesa, almacena ni transmite CHD/SAD, podría afectar la seguridad del entorno de datos del titular de la tarjeta (CDE) de nuestros clientes.
Productos aplicables: F5 Distributed Cloud, Bot Defense y Silverline
| Estándar de seguridad PCI DSS: descripción general de alto nivel |
|
|
|||
|---|---|---|---|---|---|
| Construir y mantener una red y sistemas seguros | 1.Instalar y mantener controles de seguridad de red 2.Aplicar configuraciones seguras a todos los componentes del sistema. |
||||
Proteger los datos de la cuenta |
3.Proteger los datos de cuenta almacenados. 4.Proteja los datos del titular de la tarjeta con criptografía sólida durante la transmisión a través de redes públicas abiertas. |
||||
| Mantener un programa de gestión de vulnerabilidades | 5.Proteja todos los sistemas y redes contra software malicioso. 6.Desarrollar y mantener sistemas y software seguros. |
||||
| Implementar medidas sólidas de control de acceso | 7.Restrinja el acceso a los componentes del sistema y a los datos del titular de la tarjeta según las necesidades comerciales. 8.Identificar usuarios y autenticar el acceso a los componentes del sistema. 9.Restringir el acceso físico a los datos del titular de la tarjeta. |
||||
| Monitorear y probar redes regularmente | 10.Registrar y supervisar todo acceso a los componentes del sistema y a los datos del titular de la tarjeta. 11.Pruebe la seguridad de los sistemas y redes periódicamente. |
||||
| Mantener una política de seguridad de la información | 12.Apoyar la seguridad de la información con políticas y programas organizacionales.
|
||||
Fuente: Estándar de seguridad de datos de la industria de tarjetas de pago: Requisitos y procedimientos de prueba, v4.0
PREGUNTAS FRECUENTES
¿Qué datos personales procesa F5 de sus clientes?
Para muchos servicios, F5 actúa como “procesador” (no controlador) de los datos personales necesarios para prestar un servicio. Los detalles sobre los datos personales que procesa F5 se detallan en las Declaraciones de Privacidad de cada servicio. Encuentre todos los enlaces de la Declaración de privacidad específica del servicio en la introducción del Aviso de privacidad de F5 en https://www.f5.com/company/policies/privacy-notice .
¿Qué medidas de seguridad específicas ofrece F5 para los datos personales?
F5 y sus servicios priorizan la protección de datos personales y mantienen los más altos estándares de privacidad de datos. Los controles técnicos y organizativos que protegen los datos personales recopilados por F5 se enumeran en los contratos de servicio específicos (por ejemplo, los Términos específicos del servicio aplicables a los servicios prestados bajo nuestro Acuerdo de servicios de usuario final) y en el informe SOC2 Tipo II de F5. F5 Global Support cuenta con la certificación ISO 27001 y F5 Distributed Cloud Services cuenta con la certificación ISO 27001 con una extensión de ISO 27017 e ISO 27018. F5 también cumple con el estándar PCI-DSS como proveedor de servicios de nivel 1 para los servicios de nube distribuida de F5. Se aplican certificaciones de seguridad adicionales a servicios y hardware específicos de F5. Encuentre información más detallada sobre las prácticas de seguridad de datos en https://www.f5.com/company/policies/privacy-notice .
