Certificación PCI Card Production
Promovemos su cumplimiento para la reducción del fraude relacionado con los procesos de fabricación y personalización de las tarjetas de pago como entidad certificadora del PCI Card Production en Europa, USA y LAC (Latinoamérica y Caribe).
Cumplir con PCI Card Production permite:
- Cumplimiento con las marcas.
- Obtención de una acreditación para poder trabajar con gran diversidad de entidades.
- Mitigación de riesgos.
- Prevención del fraude.
- Transmitir confianza y seguridad ante los clientes.
¿Qué es PCI Card Production?
Esta normativa define los criterios de seguridad física y lógica que deben ser implementados durante los procesos de producción y el suministro de tarjetas. El estándar detalla aspectos sobre:
- Fabricación.
- Codificación y el estampado de la banda magnética.
- Personalización de las tarjetas.
- Inicialización.
- Incrustación y personalización del chip.
- Almacenamiento de las tarjetas.
- Empaquetado, envío y distribución.
- Aprovisionamiento de tarjetas.
Una certificación dirigida a aquellos proveedores que participan en la fabricación segura de tarjetas y en el aprovisionamiento de información de pago de los clientes en tarjetas y dispositivos móviles.
¿Por qué certificarse con nosotros?
- Contamos con auditores con amplia experiencia a nivel internacional.
- Certificamos PCI DSS, PCI 3DS, PCI PIN, y PCI Card Production.
- Herramienta automática de seguimiento de evidencias (TCT).
- Equipo de consultores y auditores tanto en español como en inglés.
¿Qué consecuencias puede tener no certificarse?
- Sanciones y multas.
- Pérdida de confianza y seguridad ante los clientes.
- Importantes pérdidas económicas que en algunos casos llegan a suponer el cierre de un negocio.
Preguntas frecuentes
El estándar PCI Card Production lógico cubre los aspectos técnicos que deben de cumplir los sistemas de TI que estén dentro del entorno de producción de tarjetas como servidores, PC’s/laptops, firewalls, routers y todos los sistemas dentro del perímetro del HSA (High Security Area, por sus siglas en inglés).
Algunos requisitos específicos incluyen:
- Tener una DMZ con firewalls físicos que protegen los segmentos de la red.
- Dispositivos aprobados (HSM) para cifrar o descifrar los datos de la tarjeta.
- Contar con diagramas de flujos de datos y procesos.
- Procesos control de cambios.
- Procesos para la gestión de parches.
- Hardening en los equipos.
El estándar PCI Card Production físico cubre los aspectos de seguridad física que deben cubrirse para proteger el entorno de producción de tarjetas.
Algunos requisitos son:
- Contar con Racks separados para los servidores, firewalls y dispositivos de cifrado HSM que deben estar bajo vigilancia CCTV y con acceso bajo control de acceso dual.
- Dos personas para estar presentes en todo momento para la ejecución de procesos.
- Inventario de todos los sistemas.
- En el HSA, contar con paredes que cumplan los estándares precisos de la industria.
- Tener una sala de guardia (SCR) que este monitoreando la seguridad física.
El proceso completo ronda las 6 semanas aproximadamente:
- Planificación: 2 días.
- Auditoría: 3 días.
- Documentación y entrega de certificados: 5 semanas.
- Tiempo total: 6 semanas.
Metodología de la certificación
El método de evaluación se realiza a través de los siguientes pasos:
1. Curso de Formación Inicial
Durante esta fase se abordan temas sobre conceptos generales, puntos clave para el cumplimiento y se promueve la conciencia dentro de la organización.
2. Asesoramiento de expertos
Realización de entrevistas y revisión de la documentación necesaria para establecer y registrar los procesos activos y los proveedores involucrados que determinarán el alcance de PCI Card Production.
3. Análisis GAP
Análisis GAP para nuevos clientes, mediante la recopilación de información, con el fin de analizar todos los procesos de seguridad existentes y determinar el nivel de cumplimiento de la organización.
4. Acompañamiento y asesoramiento
Un consultor brindará asesoramiento continuo durante todo el proceso de implementación.
5. Auditoría in situ
Recuperamos información para determinar el debido cumplimiento de PCI Card Production. La evaluación se incluye en el informe final ROC (Informe de Cumplimiento) y AOC (Atestiguación de Cumplimiento) junto con cualquier otra documentación solicitada.
6. Revisión final
Prepara la documentación del estado de cumplimiento de PCI Card Production y la posterior elaboración del informe ROC y AOC.
¿Necesita cumplir con PCI Card Production?
Envíanos un correo a info@botech.info o bien rellena el siguiente formulario de contacto.