Seguridad de la Información

¿En qué consiste el programa AIS?

El Programa de Seguridad de la Información (AIS) fue introducido por Visa para América Latina y el Caribe en el año 2000.  Establece que todos los Bancos (Emisores o Adquirentes), Agentes, Comercios y proveedores de servicios que almacenan, procesan o transmiten información de Tarjetahabientes y transacciones deben cumplir con las Normas de Seguridad de la Información.

El programa AIS, en resumen provee:

  • Normas de Seguridad de la información.
  • Un criterio para la validación del cumplimiento.
  • Guías y herramientas de ayuda.

Normas de Seguridad

En el 2004, el Programa AIS incorporó las Normas de Seguridad de la Información de la Industria de Medios de Pago (PCI DSS) resultado de la colaboración entre Visa y MasterCard para crear requerimientos comunes de seguridad para la industria.

El 7 de Septiembre del 2006 fue creado el Consejo de Normas de Seguridad de la Industria de Medios de Pago (PCI SSC), quien es responsable del desarrollo, administración y educación de las Normas de Seguridad  PCI. El Consejo fue fundado por las 5 principales compañía de medios de pago.  Visa Inc., sin embargo, continúa administrando todas las iniciativas de validación y cumplimiento de las normas de seguridad.

Las Normas de Seguridad PCI ofrecen un enfoque de industria para la protección de información sensitiva. Consisten de 12 requerimientos básicos agrupados en 6 categorías:

 

Construir y Mantener Redes Seguras

1. Instalar y mantener configuraciones de cortafuegos (firewall) para proteger la información.

2. No usar contraseñas o parámetros de seguridad provistos por suplidores.

 

Proteger la Información del Tarjetahabiente

3. Proteger Información Almacenada.

4. Cifrar datos de tarjetahabientes e información sensitiva al enviarla por redes públicas.

 

Establecer Programas de Pruebas de Vulnerabilidades

5. Usar y actualizar regularmente los programas antivirus.

6. Desarrollar y mantener sistemas y aplicativos seguros.

 

Implementar medidas fuertes de control de acceso

7. Restringir acceso a información de acuerdo a reglas de negocio.

8. Asignar IDs únicos para cada persona con acceso a sistemas.

9. Restringir acceso a la información de Tarjetahabientes.

 

Regularmente Monitorear y Probar Acceso a la Red

10. Rastrear y monitorear todos los accesos a la red e información de los Tarjetahabientes.

11. Regularmente probar sistemas y procedimientos de seguridad.

 

Mantener Políticas de Seguridad de la Información

12. Establecer políticas dirigidas a la Seguridad de la Información.

 

Para obtener más información sobre las Normas de Seguridad de la Industria de Tarjetas de Pago y otros documentos del PCI visite: www.PCISecurityStandards.org (Enlace a sitio en inglés).