TV

FAQ Hero
Gestión de vulnerabilidades

¿Qué es un servicio de análisis de cumplimiento de la normativa PCI?

¿Qué es un servicio de análisis de cumplimiento de la normativa PCI?

Un servicio de análisis de cumplimiento de la normativa PCI o de evaluación de vulnerabilidades de PCI es una prueba automatizada de alto nivel que comprueba e identifica posibles vulnerabilidades en la arquitectura informática de una empresa para ver si esta incumple la normativa PCI. Estas pruebas las llevan a cabo proveedores de análisis aprobados (ASV) para verificar el cumplimiento de la normativa PCI y deben realizarse al menos cada trimestre.

La normativa aplicable al sector de pagos con tarjeta (PCI DSS) es un conjunto de requisitos técnicos y operativos para las empresas que aceptan o procesan transacciones de pago. Estas normas, establecidas y controladas por las compañías de tarjetas de crédito (Visa, MasterCard, American Express, etc.), se crearon para aumentar el control de los datos de los titulares de las tarjetas con el fin de reducir el fraude.

Se consideran conformes a la normativa PCI DSS las empresas que cumplen los doce requisitos previstos en dicha normativa para certificar que existe la seguridad adecuada para procesar la información de las tarjetas de crédito. La validación del cumplimiento se realiza anual o trimestralmente mediante un método acorde al volumen de transacciones gestionadas. Las empresas con menor volumen de transacciones pueden realizar autoevaluaciones; aquellas con mayor volumen deben someterse a una validación realizada por un evaluador externo; y las empresas con volúmenes muy elevados están obligadas a contratar a un evaluador interno para que realice auditorías de cumplimiento e informe sobre estas periódicamente.