4.19 PCI DSS, Payment Card Industry Data Security Standard v2.0.

Transcripción

1 4.19 PCI DSS, Payment Card Industry Data Security Standard v2.0. Introducción. Este estándar fue sarrollado por un comité conformado por las compañías tarjetas bancarias más importantes, como una guía para las organizaciones que procesan, almacenan y/o transmiten datos tarjetahabientes, con el fin asegurar dichos datos y prevenir fraus. N Requerimiento normativo RESPONSABLE Desarrollar y mantener una red segura. Guías para tener una red segura comunicaciones. Proteger los datos l Guías para protección datos titular la tarjeta. l tarjetahabiente. Los responsables en el tratamiento datos Mantener un 1 personales, berán observar los principios licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y Art. 6 Art Recomendación General. programa administración vulnerabilidad. Guías para gestión vulnerabilidas seguridad. responsabilidad, previstos en la Ley. Implementar medidas sólidas control acceso. Supervisar y evaluar las res con regularidad. Guías para el control acceso. Guías para la revisión periódica seguridad la red. 586

2 Mantener una política Guías para finir y mantener una seguridad política seguridad la información. información. Requisitos las PCI DSS adicionales para Guías para controlar la seguridad proveedores cuando se emplean a proveedores hosting compartido hosting compartido. (Anexo A). LICITUD Y LEALTAD Los datos personales berán recabarse y tratarse manera lícita, privilegiando la protección los intereses l titular y la 2 expectativa razonable privacidad, sin importar la fuente la que se obtienen los datos. Art. 7 Art. 7 Art. 10 Art. 44 Paso 1. Alcance y Objetivos. NO APLICA NO APLICA La obtención datos personales no be hacerse a través medios engañosos o fraudulentos. CONSENTIMIENTO 587

3 El tratamiento datos personales estará sujeto al consentimiento su titular, salvo las excepciones previstas por la Ley. 3 Los datos financieros o patrimoniales requerirán consentimiento expreso su titular. Art. 8 Art. 11 Art. 12 Art. 15 Paso 2. Política Gestión Datos Personales. NO APLICA NO APLICA Cuando los datos personales se obtengan personalmente o manera directa su titular, el consentimiento berá ser previo al tratamiento. El responsable berá facilitar al titular Paso 2. Política 4 medios sencillos y gratuitos para manifestar Art. 8 Art. 16 Gestión Datos NO APLICA NO APLICA su consentimiento expreso. Personales. Tratándose datos personales sensibles, el 5 responsable berá obtener el consentimiento expreso y por escrito l titular para su tratamiento. No podrán crearse bases datos que contengan datos personales sensibles, sin Art. 9 Art. 56 Paso 2. Política Gestión Datos Personales. 3.2 No almacene datos confinciales autenticación spués recibir la autorización. Guías para el borrado seguro datos confinciales l tarjetahabiente cuando ya no son necesarios. que se justifique la creación las mismas 588

4 para finalidas legítimas, concretas y acors con las actividas o fines explícitos que persigue el sujeto regulado. Paso 7. Implementación las Medidas Para efectos mostrar la obtención l Seguridad 6 consentimiento, la carga la prueba recaerá, en todos los casos, en el Art. 20 Aplicables a los Datos Personales. NO APLICA NO APLICA responsable. Cumplimiento Cotidiano Medidas Seguridad. INFORMACIÓN 589

5 A través l aviso privacidad, el responsable tendrá la obligación informar a los titulares, los datos que recaba, las finalidas necesarias y las que no lo son para la relación jurídica, así como las 7 características principales su tratamiento. Cuando se traten datos personales como parte un proceso toma cisiones sin que intervenga la valoración una Art. 15 Art. 14 Art. 23 Art. 112 Paso 2. Política Gestión Datos Personales. NO APLICA NO APLICA persona física, el responsable berá informar al titular que esta situación ocurre. Si obtiene los datos manera automática, berá informar al titular sobre el uso estas tecnologías y la forma en que podrá shabilitarlas. Paso 7. Implementación Cuando los datos personales sean obtenidos las Medidas directamente l titular, el aviso Seguridad 8 privacidad be ponerse a disposición los titulares a través formatos impresos, Art. 3, I Art. 17 Art. 27 Aplicables a los Datos Personales. NO APLICA NO APLICA digitales, visuales, sonoros o cualquier otra Cumplimiento tecnología. Cotidiano Medidas Seguridad. 590

6 Paso 7. 9 El aviso privacidad be contener un mecanismo, para que el titular pueda manifestar su negativa al tratamiento sus datos personales. Cuando los datos se obtengan manera indirecta l titular, el responsable berá darle a conocer el aviso privacidad y sus cambios. Art. 18 Art. 14 Art. 29 Art. 32 Implementación las Medidas Seguridad Aplicables a los Datos Personales. Cumplimiento Cotidiano Medidas NO APLICA NO APLICA Seguridad Paso 7. Implementación 10 Para efectos mostrar la puesta a disposición l aviso privacidad en cumplimiento l principio información, la carga la prueba recaerá, en todos los casos, en el responsable. Art. 31 las Medidas Seguridad Aplicables a los Datos Personales. Cumplimiento Cotidiano NO APLICA NO APLICA Medidas Seguridad. CALIDAD 591

7 El responsable procurará que los datos 11 personales contenidos en las bases datos sean exactos, completos, pertinentes, correctos y actualizados según se requiera para el cumplimiento la finalidad para la Art. 11 Art. 36 Paso 2. Política Gestión Datos Personales. NO APLICA NO APLICA cual son tratados. Cuando los datos carácter personal hayan jado ser necesarios para el cumplimiento las finalidas previstas por 3.1 Almacene la el aviso privacidad y las disposiciones menor cantidad legales aplicables, berán ser cancelados, posible datos 12 previo bloqueo los mismos. El responsable la base datos estará obligado a eliminar la información relativa al Art. 3 III Art. 11 Art. 37 Paso 2. Política Gestión Datos Personales. titulares tarjetas implementando políticas, procedimientos y Guías para la finición períodos retención datos y su borrado seguro. incumplimiento obligaciones procesos retención contractuales, una vez que transcurra un y disposición plazo setenta y dos meses, contado a datos. partir la fecha calendario en que se presente el mencionado incumplimiento. 592

8 3.1 Almacene la menor cantidad posible datos 13 El responsable establecerá y documentará procedimientos para la conservación y, en su caso, bloqueo y supresión los datos personales. Art. 38 Paso 2. Política Gestión Datos Personales. titulares tarjetas implementando políticas, procedimientos y Guías para la finición períodos retención datos y su borrado seguro. procesos retención y disposición datos. Paso Almacene la Implementación menor cantidad las Medidas posible datos 14 Al responsable le correspon mostrar que los datos personales se conservan, o en su caso, bloquean, suprimen o cancelan. Art. 39 Seguridad Aplicables a los Datos Personales. Cumplimiento titulares tarjetas implementando políticas, procedimientos y Guías para la finición períodos retención datos y su borrado seguro. Cotidiano procesos retención Medidas y disposición Seguridad. datos. FINALIDAD 593

9 El tratamiento datos personales berá limitarse al cumplimiento las finalidas 3.1 Almacene la previstas en el aviso privacidad. menor cantidad Si el responsable preten tratar los datos posible datos 15 para un fin distinto al establecido, berá obtener nuevamente el consentimiento l titular. El titular podrá oponerse o revocar su Art. 12 Art. 40 Art. 42 Art. 43 Paso 2. Política Gestión Datos Personales. titulares tarjetas implementando políticas, procedimientos y Guías para la finición períodos retención datos y su borrado seguro. consentimiento para las finalidas distintas procesos retención a las que dieron origen a la relación jurídica, y disposición sin que ello tenga como consecuencia la datos. conclusión l tratamiento. PROPORCIONALIDAD 3.1 Almacene la 16 El tratamiento datos personales será el que resulte necesario, acuado y relevante en relación con las finalidas previstas en el aviso privacidad. En particular para datos personales sensibles, el responsable berá limitar el periodo tratamiento al mínimo indispensable. Art. 13 Art. 45 Art. 46 Paso 2. Política Gestión Datos Personales. menor cantidad posible datos titulares tarjetas implementando políticas, procedimientos y procesos retención y disposición Guías para la finición períodos retención datos y su borrado seguro. datos. 594

10 CONFIDENCIALIDAD 2.4 Los proveedores servicio hosting compartido ben proteger el entorno hospedado y los datos l titular la Guías para evaluar que los proveedores hosting compartido estén protegiendo los datos l tarjetahabiente. El responsable o terceros que intervengan en tarjeta la entidad. 17 cualquier fase l tratamiento datos personales berán guardar confincialidad respecto éstos, obligación que subsistirá aun spués finalizar sus relaciones con el Art. 21 Art. 9 Paso 2. Política Gestión Datos Personales Mantenga un acuerdo escrito que incluya una mención que los Guías para el establecimiento titular o, en su caso, con el responsable. proveedores acuerdos con los proveedores servicios son servicios y para que sean responsables la responsables la seguridad seguridad los los datos l tarjetahabiente. datos titulares tarjetas que ellos tienen en su por. RESPONSABILIDAD 18 El responsable tiene la obligación velar y responr por el tratamiento los datos personales en su posesión, biendo adoptar las medidas necesarias. Art. 14 Art. 47 Paso 2. Política Gestión Datos Personales. Desarrollar y mantener una red segura. Proteger los datos l Guías para tener una red segura comunicaciones. Guías para protección datos 595

11 titular la tarjeta. l tarjetahabiente. El responsable berá tomar las medidas Mantener un necesarias y suficientes para garantizar que el programa Guías para gestión aviso privacidad dado a conocer al titular, administración vulnerabilidas seguridad. sea respetado en todo momento por él o vulnerabilidad. por terceros con los que guar alguna Implementar medidas relación jurídica. sólidas control Guías para el control acceso. acceso. Supervisar y evaluar las res con regularidad. Guías para la revisión periódica seguridad la red. Mantener una política Guías para finir y mantener una seguridad política seguridad la información. información. Requisitos las PCI DSS adicionales para Guías para controlar la seguridad proveedores cuando se emplean a proveedores hosting compartido hosting compartido. (Anexo A). Los responsables berán adoptar medidas Paso 5. Realizar el 6.2 Establezca un Guías para la intificación y 19 para garantizar el bido tratamiento, privilegiando los intereses l titular y la Art. 14 Art. 48 Análisis Riesgo los Datos proceso para intificar y asignar clasificación riesgos antes vulnerabilidas seguridad expectativa razonable privacidad. Personales. una clasificación informática. 596

12 riesgos para vulnerabilidas seguridad scubiertas recientemente Establezca, publique, mantenga y distribuya una política seguridad. Guías para la finición y comunicación la política seguridad Asegúrese Elaborar políticas y programas privacidad Paso 2. Política que las políticas y los 20 obligatorios y exigibles al interior la Art I Gestión Datos procedimientos Guías para establecer las organización. Personales. seguridad finan responsabilidas seguridad claramente las la información para el personal responsabilidas seguridad la que procesa los datos l tarjetahabiente. información todo el personal. 597

13 12.6 Implemente un programa formal concienciación sobre 21 Poner en práctica un programa capacitación, actualización, y concientización l personal sobre las obligaciones en materia protección datos personales. Art II Paso 9. Mejora Continua y Capacitación. Capacitación. seguridad para que todos los empleados tomen conciencia la importancia la Guías para un programa forma concienciación seguridad la información. seguridad los datos titulares tarjetas. Requisito 11: Pruebe Guías para revisar periódicamente con regularidad los la seguridad los sistemas y sistemas y procesos procesos que manejan los datos seguridad. los tarjetahabientes Incluya un Establecer un sistema supervisión y proceso anual que 22 vigilancia interna, verificaciones o auditorías externas para comprobar el cumplimiento Art III Paso 8. Revisiones y Auditoría. intifique amenazas, las y Guías para llevar a cabo una las políticas privacidad. vulnerabilidas, y los resultados en una evaluación formal riesgos Incluye una revisión al menos una evaluación formal riesgos. Guías para la revisión seguridad ante modificaciones 598

14 vez al año y importantes los sistemas y actualizaciones modificarse entorno. al el aplicaciones que manejan datos l tarjetahabiente Aprobación explícita por las partes autorizadas. Guías para que se aprueben las políticas para el uso tecnología Asegúrese que las políticas y los 23 Destinar recursos para la instrumentación los programas y políticas privacidad. Art IV Paso 3. Establecer Funciones y Obligaciones Quienes Traten Datos Personales. procedimientos seguridad finan claramente las responsabilidas seguridad la información todo el personal Implemente un Revisión que las políticas cuenten con responsabilidas para la seguridad la información. programa formal concienciación sobre seguridad para que todos los empleados tomen conciencia Implementación l programa concienciación seguridad la información. la importancia la seguridad los 599

15 datos titulares tarjetas. 6.2 Establezca un proceso para 24 Instrumentar un procedimiento para que se atienda el riesgo para la protección datos personales por la implementación nuevos productos, servicios, tecnologías y molos negocios, así como para mitigarlos. Art V Paso 5. Realizar el Análisis Riesgo los Datos Personales. intificar y asignar una clasificación riesgos para vulnerabilidas seguridad Guías para la intificación y clasificación riesgos antes vulnerabilidas seguridad informática. scubiertas recientemente. Requisito 11: Pruebe Guías para revisar periódicamente con regularidad los la seguridad los sistemas y sistemas y procesos procesos que manejan los datos seguridad. los tarjetahabientes Incluya un 25 Revisar periódicamente las políticas y programas seguridad para terminar las modificaciones que se requieran. Art VI Paso 8. Revisiones y Auditoría. proceso anual que intifique las amenazas, y Guías para llevar a cabo una vulnerabilidas, y los evaluación formal riesgos. resultados en una evaluación formal riesgos Incluye una Guías para la revisión 600

16 revisión al menos una seguridad ante modificaciones vez al año y importantes los sistemas y actualizaciones al aplicaciones que manejan datos modificarse entorno. el l tarjetahabiente. Paso 7. Implementación las Medidas 26 Establecer procedimientos para recibir y responr dudas y quejas los titulares los datos personales. Art VII Seguridad Aplicables a los Datos Personales. Cumplimiento NO APLICA NO APLICA Cotidiano Medidas Seguridad. 27 Disponer mecanismos para el cumplimiento las políticas y programas privacidad, así como sanciones por su incumplimiento. Art VIII Paso 3. Funciones y Obligaciones Quienes Traten Datos Personales Aprobación explícita por las partes autorizadas Asegúrese que las políticas y los procedimientos seguridad finan Guías para que se aprueben las políticas para el uso tecnología. Revisión que las políticas cuenten con responsabilidas para la seguridad la claramente las información. responsabilidas 601

17 seguridad la información todo el personal. Requisito 1: Instale y mantenga una configuración firewalls para proteger los datos Guías para la configuración firewalls. los titulares las tarjetas. 28 Establecer medidas para el aseguramiento los datos personales, es cir, un conjunto acciones técnicas y administrativas que permitan garantizar al responsable el cumplimiento los principios y obligaciones que establece la Ley y su. Art IX Paso 6. Intificación las medidas seguridad y Análisis Brecha. Requisito 2: No use contraseñas sistemas y otros parámetros seguridad provistos por los proveedores. Requisito 3: Proteja Guías para no utilizar configuraciones por fecto los proveedores. los datos l titular Guías para la protección datos la tarjeta que durante su almacenamiento. fueron almacenados. Requisito 4: Cifrar transmisión datos l titular la tarjeta en las res públicas Guías para el cifrado datos durante su transmisión por res abiertas. 602

18 abiertas. Requisito 5: Utilice y actualice Guías para la operación y regularmente el mantenimiento los esquemas software o los programas antivirus. antivirus. Requisito 6: Desarrolle y Guías para el sarrollo mantenga sistemas y aplicaciones seguras. aplicaciones seguras. Requisito 7: Restringir el acceso a los datos l titular la tarjeta según la necesidad Guías para aplicar el mínimo privilegio para el acceso a los datos. saber l negocio. Requisito 8: Asignar una ID exclusiva a cada persona que tenga acceso por Guías para uso intificadores únicos en la intificación y control acceso. computadora. Requisito 9: Restringir el acceso físico a los datos l titular la tarjeta. Guías para el acceso físico a los datos. 603

19 Requisito 10: Rastree y supervise todos los accesos a los recursos red y a los datos los titulares las Guías para el monitoreo y supervisión los accesos a los datos y servicios red. tarjetas. Requisito 11: Pruebe Guías para revisar periódicamente con regularidad los la seguridad los sistemas y sistemas y procesos procesos que manejan los datos seguridad. los tarjetahabientes. Requisito 12: Mantenga una política que abor la seguridad la información para todo el personal. Guías para finir una política seguridad con responsabilidas directas para el personal que maneja los datos los tarjetahabientes. Requisitos las PCI DSS adicionales para Guías adicionales para el control proveedores los proveedores hosting hosting compartido compartido. (Anexo A). Establecer medidas para la trazabilidad los Paso Implemente Guías para la verificación pistas 29 datos personales, es cir acciones, medidas Art X Intificación las pistas auditoría auditoría en los sistemas y y procedimientos técnicos que permiten medidas automatizadas para aplicaciones. 604

20 rastrear a los datos personales durante su seguridad y Análisis todos los tratamiento. Brecha. componentes l sistema Resguar las pistas auditoría para evitar que se Guías para el resguardo las pistas auditoría. modifiquen Revise los registros todos los componentes l sistema al menos una Guías para el monitoreo los componentes los sistemas. vez al día. Paso Todo responsable berá signar a una persona, o partamento datos personales, quien dará trámite a las solicitus los titulares, para el ejercicio los rechos a que se refiere la Ley. Asimismo fomentará la protección datos personales al interior la organización. Art. 30 Implementación las Medidas Seguridad Aplicables a los Datos Personales. Cumplimiento Cotidiano Medidas 12.5 Asigne las siguientes responsabilidas gestión seguridad la información a una persona o equipo. Guías para la asignación un responsable la seguridad la información en la organización. Seguridad. SEGURIDAD 31 Todo responsable que lleve a cabo tratamiento datos personales berá Art. 19 Art. 4 Art. 9 Paso 6. Intificación las Requisito 1: Instale y mantenga una Guías para la configuración firewalls. 605

21 establecer y mantener medidas seguridad Art. 57 medidas configuración administrativas, técnicas y físicas que seguridad y Análisis firewalls para permitan proteger los datos personales Brecha. proteger los datos contra daño, pérdida, alteración, strucción los titulares las o el uso, acceso o tratamiento no autorizado. tarjetas. No adoptarán medidas seguridad Requisito 2: No use menores a aquellas que mantengan para el manejo su información. Cuando el encargado se encuentre ubicado en territorio mexicano, le serán aplicables las contraseñas sistemas y otros parámetros seguridad provistos Guías para no utilizar configuraciones por fecto los proveedores. disposiciones relativas a las medidas por los proveedores. seguridad contenidas en el Capítulo III Requisito 3: Proteja. los datos l titular Guías para la protección datos la tarjeta que durante su almacenamiento. fueron almacenados. Requisito 4: Cifrar transmisión datos Guías para el cifrado datos l titular la tarjeta durante su transmisión por res en res públicas abiertas. abiertas. Requisito 5: Utilice y actualice regularmente el software o los Guías para la operación y mantenimiento los esquemas antivirus. 606

22 programas antivirus. Requisito 6: Desarrolle y Guías para el sarrollo mantenga sistemas y aplicaciones seguras. aplicaciones seguras. Requisito 7: Restringir el acceso a los datos l titular la tarjeta según la necesidad Guías para aplicar el mínimo privilegio para el acceso a los datos. saber l negocio. Requisito 8: Asignar una ID exclusiva a cada persona que tenga acceso por Guías para uso intificadores únicos en la intificación y control acceso. computadora. Requisito 9: Restringir el acceso físico a los datos l titular la tarjeta. Guías para el acceso físico a los datos. Requisito 10: Rastree y supervise todos los accesos a los recursos red y a los datos los titulares las Guías para el monitoreo y supervisión los accesos a los datos y servicios red. 607

23 tarjetas. Requisito 11: Pruebe Guías para revisar periódicamente con regularidad los la seguridad los sistemas y sistemas y procesos procesos que manejan los datos seguridad. los tarjetahabientes. Requisito 12: Mantenga una política que abor la seguridad la información para todo el personal. Guías para finir una política seguridad con responsabilidas directas para el personal que maneja los datos los tarjetahabientes. Requisitos las PCI DSS adicionales para Guías adicionales para el control proveedores los proveedores hosting hosting compartido compartido. (Anexo A). 608

24 El responsable terminará las medidas seguridad aplicables a los datos personales que trate, consirando el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad los datos y el sarrollo tecnológico. 6.2 Establezca un De manera adicional, el responsable proceso para 32 procurará tomar en cuenta los siguientes elementos: I. El número titulares; II. Las vulnerabilidas previas ocurridas en los sistemas tratamiento; Art. 19 Art. 60 Paso 5. Realizar el Análisis Riesgo los Datos Personales. intificar y asignar una clasificación riesgos para vulnerabilidas seguridad Guías para la intificación y clasificación riesgos antes vulnerabilidas seguridad informática. III. El riesgo por el valor potencial scubiertas cuantitativo o cualitativo que pudieran tener recientemente. los datos personales tratados para una tercera persona no autorizada para su posesión, y IV. Demás factores que puedan incidir en el nivel riesgo o que resulten otras leyes o regulación aplicable al responsable. 33 Elaborar un inventario datos personales y los sistemas tratamiento. Art I Paso 4. Elaborar un Inventario Datos Personales Clasifique los medios manera que se pueda terminar la Guías para la clasificación los datos. 609

25 confincialidad los datos. 9.8 Asegúrese que la gerencia apruebe todos y cada uno los medios que contengan datos titulares tarjetas Aprobación los medios que contienen datos los tarjetahabientes. que se muevan s un área segura Lleve registros inventario acuadamente todos los medios y realice inventarios Guías para el mantenimiento inventarios medios. medios anualmente como mínimo. 610

26 12.4 Asegúrese que las políticas y los Paso 3. Establecer procedimientos Guías para establecer las 34 Determinar las funciones y obligaciones las personas que traten datos personales. Art II Funciones y Obligaciones Quienes Traten seguridad finan claramente las responsabilidas responsabilidas seguridad la información para el personal que procesa los datos l Datos Personales. seguridad la tarjetahabiente. información todo el personal. 6.2 Establezca un proceso para 35 Contar con un análisis riesgos datos personales que consiste en intificar peligros y estimar los riesgos a los datos personales. Art III Paso 5. Realizar el Análisis Riesgo los Datos Personales. intificar y asignar una clasificación riesgos para vulnerabilidas seguridad Guías para la intificación y clasificación riesgos antes vulnerabilidas seguridad informática. scubiertas recientemente. 36 Establecer las medidas seguridad aplicables a los datos personales e intificar aquéllas implementadas manera efectiva. Art IV Paso 6. Intificación las medidas seguridad y Análisis Requisito 1: Instale y mantenga una configuración firewalls para Guías para la configuración firewalls. 611

27 Brecha. proteger los datos los titulares las tarjetas. Requisito 2: No use contraseñas sistemas y otros parámetros seguridad provistos Guías para no utilizar configuraciones por fecto los proveedores. por los proveedores. Requisito 3: Proteja los datos l titular Guías para la protección datos la tarjeta que fueron almacenados. durante su almacenamiento. Requisito 4: Cifrar transmisión datos l titular la tarjeta en las res públicas Guías para el cifrado datos durante su transmisión por res abiertas. abiertas. Requisito 5: Utilice y actualice regularmente el software o los Guías para la operación y mantenimiento los esquemas antivirus. programas antivirus. Requisito 6: Guías para el sarrollo 612

28 Desarrolle y aplicaciones seguras. mantenga sistemas y aplicaciones seguras. Requisito 7: Restringir el acceso a los datos Guías para aplicar el mínimo l titular la tarjeta privilegio para el acceso a los según la necesidad datos. saber l negocio. Requisito 8: Asignar una ID exclusiva a Guías para uso intificadores cada persona que únicos en la intificación y tenga acceso por control acceso. computadora. Requisito 9: Restringir el acceso físico a los Guías para el acceso físico a los datos l titular la datos. tarjeta. Requisito 10: Rastree y supervise todos los accesos a los recursos red y a los datos los titulares las Guías para el monitoreo y supervisión los accesos a los datos y servicios red. tarjetas. Requisito 11: Pruebe Guías para revisar periódicamente 613

29 con regularidad los la seguridad los sistemas y sistemas y procesos procesos que manejan los datos seguridad. los tarjetahabientes. Requisito 12: Mantenga una política que abor la seguridad la información para todo el personal. Guías para finir una política seguridad con responsabilidas directas para el personal que maneja los datos los tarjetahabientes. Requisitos las PCI DSS adicionales para Guías adicionales para el control proveedores los proveedores hosting hosting compartido compartido. (Anexo A). Requisito 11: Pruebe Guías para revisar periódicamente con regularidad los la seguridad los sistemas y 37 Realizar el análisis brecha que consiste en la diferencia las medidas seguridad existentes y aquéllas faltantes que resultan necesarias para la protección los datos personales. Art V Paso 6. Intificación las medidas seguridad y Análisis Brecha. sistemas y procesos seguridad Incluya un proceso anual que intifique las amenazas, y procesos que manejan los datos los tarjetahabientes. Guías para llevar a cabo una evaluación formal riesgos. vulnerabilidas, y los resultados en una 614

30 evaluación formal riesgos Incluye una revisión al menos una vez al año y actualizaciones al modificarse el entorno. Guías para la revisión seguridad ante modificaciones importantes los sistemas y aplicaciones que manejan datos l tarjetahabiente. Requisito 11: Pruebe Guías para revisar periódicamente con regularidad los la seguridad los sistemas y 38 Elaborar un plan trabajo para la implementación las medidas seguridad faltantes, rivadas l análisis brecha. Art VI Paso 7. Implementación las Medidas Seguridad Aplicables a los Datos Personales. Plan Trabajo para la Implementación las Medidas Seguridad Faltantes. sistemas y procesos seguridad Incluya un proceso anual que intifique las amenazas, y vulnerabilidas, y los resultados en una evaluación formal riesgos Incluye una revisión al menos una procesos que manejan los datos los tarjetahabientes. Guías para llevar a cabo una evaluación formal riesgos. Guías para la revisión seguridad ante modificaciones vez al año y importantes los sistemas y actualizaciones al aplicaciones que manejan datos 615

31 modificarse el l tarjetahabiente. entorno. Requisito 11: Pruebe Guías para revisar periódicamente 39 Llevar a cabo revisiones o auditorías. Art VII Paso 8. Revisiones y Auditoría. con regularidad los sistemas y procesos la seguridad los sistemas y procesos que manejan los datos seguridad. los tarjetahabientes Implemente un programa formal concienciación sobre 40 Capacitar al personal que efectúe el tratamiento datos personales. Art VIII Paso 9. Mejora Continua y Capacitación. Capacitación. seguridad para que todos los empleados tomen conciencia la importancia la Guías para un programa forma concienciación seguridad la información. seguridad los datos titulares tarjetas. 41 Realizar un registro los medios almacenamiento los datos personales. Art IX Paso 5. Realizar el Análisis Riesgo los Datos Clasifique los medios manera que se pueda Guías para la clasificación los datos. 616

32 Personales. terminar la confincialidad los datos. 9.8 Asegúrese que la gerencia apruebe todos y cada uno los medios que contengan datos titulares tarjetas Aprobación los medios que contienen datos los tarjetahabientes. que se muevan s un área segura Lleve registros inventario acuadamente todos los medios y realice inventarios Guías para el mantenimiento inventarios medios. medios anualmente como mínimo. 42 Contar con una relación las medidas seguridad. Art Acciones a implementar para la seguridad los datos personales documentadas. Requisito 1: Instale y mantenga una configuración firewalls para proteger los datos los titulares las Guías para la configuración firewalls. 617

33 tarjetas. Requisito 2: No use contraseñas sistemas y otros parámetros seguridad provistos Guías para no utilizar configuraciones por fecto los proveedores. por los proveedores. Requisito 3: Proteja los datos l titular Guías para la protección datos la tarjeta que durante su almacenamiento. fueron almacenados. Requisito 4: Cifrar transmisión datos Guías para el cifrado datos l titular la tarjeta durante su transmisión por res en las res públicas abiertas. abiertas. Requisito 5: Utilice y actualice regularmente el Guías para la operación y mantenimiento los esquemas software o los antivirus. programas antivirus. Requisito 6: Desarrolle y mantenga sistemas y Guías para el sarrollo aplicaciones seguras. 618

34 aplicaciones seguras. Requisito 7: Restringir el acceso a los datos Guías para aplicar el mínimo l titular la tarjeta privilegio para el acceso a los según la necesidad datos. saber l negocio. Requisito 8: Asignar una ID exclusiva a Guías para uso intificadores cada persona que únicos en la intificación y tenga acceso por control acceso. computadora. Requisito 9: Restringir el acceso físico a los Guías para el acceso físico a los datos l titular la datos. tarjeta. Requisito 10: Rastree y supervise todos los accesos a los recursos red y a los datos los titulares las Guías para el monitoreo y supervisión los accesos a los datos y servicios red. tarjetas. Requisito 11: Pruebe Guías para revisar periódicamente con regularidad los la seguridad los sistemas y sistemas y procesos procesos que manejan los datos 619

35 seguridad. los tarjetahabientes. Requisito 12: Mantenga una política que abor la seguridad la información para todo el personal. Guías para finir una política seguridad con responsabilidas directas para el personal que maneja los datos los tarjetahabientes. Requisitos las PCI DSS adicionales para Guías adicionales para el control proveedores los proveedores hosting hosting (Anexo A). compartido compartido. Actualizar las medidas seguridad cuando: 6.2 Establezca un proceso para 43 I. Se modifiquen las medidas o procesos seguridad para su mejora continua, rivado las revisiones a la política seguridad l responsable. II. Se produzcan modificaciones sustanciales Art. 62 Paso 8. Revisiones y Auditoría. intificar y asignar una clasificación riesgos para vulnerabilidas seguridad Guías para la intificación y clasificación riesgos antes vulnerabilidas seguridad informática. en el tratamiento que riven en un cambio scubiertas l nivel riesgo. recientemente. III. Se vulneren los sistemas tratamiento, Requisito 11: Pruebe Guías para revisar periódicamente conformidad con lo dispuesto en el con regularidad los la seguridad los sistemas y artículo 20 la Ley y 63 su. sistemas y procesos procesos que manejan los datos 620

36 IV. Exista una afectación a los datos seguridad. los tarjetahabientes. personales distinta a las anteriores Incluya un En el caso datos personales sensibles, los proceso anual que responsables procurarán revisar y, en su caso, intifique las actualizar las relaciones correspondientes una amenazas, y Guías para llevar a cabo una vez al año. vulnerabilidas, y los evaluación formal riesgos. resultados en una evaluación formal riesgos Incluye una revisión al menos una vez al año y actualizaciones al modificarse el entorno. Guías para la revisión seguridad ante modificaciones importantes los sistemas y aplicaciones que manejan datos l tarjetahabiente. VULNERACIONES A LA SEGURIDAD 44 Las vulneraciones seguridad ocurridas en cualquier fase l tratamiento que afecten forma significativa los rechos patrimoniales o morales los titulares, serán informadas forma inmediata por el responsable al titular, a fin que este último pueda tomar las medidas correspondientes a la fensa sus rechos. Art. 20 Art. 63 Art. 64 Paso 8. Revisiones y Auditoría. Vulneraciones a la Seguridad la Información Cree el plan respuesta a incintes que será implementado en caso que ocurra una violación la seguridad l sistema. Guías para un plan respuesta a incintes seguridad. 621

37 En caso que ocurra una vulneración a la seguridad los datos personales, el responsable berá informar al titular al menos lo siguiente: Cree el plan 45 I. La naturaleza l incinte. II. Los datos personales comprometidos. III. Las recomendaciones al titular acerca las medidas que éste pueda adoptar para proteger sus intereses. IV. Las acciones correctivas realizadas Art. 65 Paso 8. Revisiones y Auditoría. Vulneraciones a la Seguridad la Información. respuesta a incintes que será implementado en caso que ocurra una violación la seguridad l sistema. Guías para un plan respuesta a incintes seguridad. forma inmediata. V. Los medios don pue obtener más información al respecto. En caso que ocurra una vulneración a los Cree el plan datos personales, el responsable berá Paso 8. Revisiones y respuesta a incintes 46 analizar las causas por las cuales se presentó e implementar las acciones correctivas, preventivas y mejora para acuar las Art. 66 Auditoría. Vulneraciones a la Seguridad la que será implementado en caso que ocurra Guías para un plan respuesta a incintes seguridad. medidas seguridad correspondientes, a Información. una violación la efecto evitar que la vulneración se repita. seguridad l sistema. ENCARGADO 622

38 El encargado tendrá las siguientes obligaciones respecto l tratamiento que realice por cuenta l responsable: I. Tratar únicamente los datos personales conforme a las instrucciones l responsable. II. Abstenerse tratar los datos personales para finalidas distintas a las instruidas por el responsable. III. Implementar las medidas seguridad 2.4 Los proveedores 47 conforme a la Ley, su y las más disposiciones aplicables. IV. Guardar confincialidad respecto los datos personales tratados. V. Suprimir los datos personales objeto Art Recomendación General. servicio hosting compartido ben proteger el entorno hospedado y los datos l titular la Guías para evaluar que los proveedores hosting compartido estén protegiendo los datos l tarjetahabiente. tratamiento una vez cumplida la relación tarjeta la entidad. jurídica con el responsable o por instrucciones l responsable, siempre y cuando no exista una previsión legal que exija la conservación los datos personales. VI. Abstenerse transferir los datos personales salvo en el caso que el responsable así lo termine, la comunicación rive una subcontratación, o cuando así lo requiera la autoridad 623

39 competente. SUBCONTRATACIONES 2.4 Los proveedores La relación entre el responsable y el encargado berá estar establecida mediante Paso 7. Implementación las Medidas Seguridad servicio hosting compartido ben proteger el entorno hospedado y los datos l titular la Guías para evaluar que los proveedores hosting compartido estén protegiendo los datos l tarjetahabiente. 48 cláusulas contractuales u otro instrumento jurídico que cida el responsable, que Art. 51 Aplicables a los Datos Personales. tarjeta la entidad Mantenga un permita acreditar su existencia, alcance y Cumplimiento acuerdo escrito que Guías para el establecimiento contenido. Cotidiano incluya una mención acuerdos con los proveedores Medidas que los servicios y para que sean Seguridad. proveedores responsables la seguridad servicios son los datos l tarjetahabiente. responsables la 624

40 seguridad los datos titulares tarjetas que ellos tienen en su por. Toda subcontratación servicios por parte 2.4 Los proveedores l encargado que implique el tratamiento datos personales berá ser autorizada por el responsable, y se realizará en y por cuenta este último. Una vez obtenida la autorización, el Paso 7. Implementación servicio hosting compartido ben proteger el entorno hospedado y los datos l titular la Guías para evaluar que los proveedores hosting compartido estén protegiendo los datos l tarjetahabiente. encargado berá formalizar la relación con las Medidas tarjeta la entidad. el subcontratado a través cláusulas Seguridad Mantenga un 49 contractuales u otro instrumento jurídico que permita acreditar su existencia, alcance y Art. 54 Art. 55 Aplicables a los Datos Personales. acuerdo escrito que incluya una mención contenido. Cumplimiento que los Guías para el establecimiento En caso que la subcontratación no haya Cotidiano proveedores acuerdos con los proveedores sido prevista en cláusulas contractuales, el Medidas servicios son servicios y para que sean encargado berá obtener la autorización Seguridad. responsables la responsables la seguridad correspondiente l responsable seguridad los los datos l tarjetahabiente. previamente. datos titulares La obligación acreditar que la tarjetas que ellos subcontratación se realizó con autorización tienen en su por. 625

41 l responsable corresponrá al encargado. Requisito A.1: Los proveedores hosting compartidos ben proteger el entorno datos titulares tarjetas. Guías específicas para la protección los datos los tarjetahabientes por parte los proveedores hosting compartido. CÓMPUTO EN LA NUBE Para el tratamiento datos personales en 2.4 Los proveedores servicios, aplicaciones e infraestructura en el nominado cómputo en la nube, en los que el responsable se adhiera a los mismos mediante condiciones o cláusulas generales contratación, sólo podrá utilizar aquellos Paso 7. Implementación las Medidas servicio hosting compartido ben proteger el entorno hospedado y los datos l titular la Guías para evaluar que los proveedores hosting compartido estén protegiendo los datos l tarjetahabiente. servicios en los que el proveedor cumpla, al Seguridad tarjeta la entidad. 50 menos, con lo siguiente: Art I Aplicables a los Datos Personales Mantenga un acuerdo escrito que a) Tener y aplicar políticas protección Cumplimiento incluya una mención Guías para el establecimiento datos personales afines a los principios y Cotidiano que los acuerdos con los proveedores beres aplicables que establece la Ley y su Medidas proveedores servicios y para que sean ; Seguridad. servicios son responsables la seguridad responsables la los datos l tarjetahabiente. b) Transparentar las subcontrataciones que seguridad los involucren la información sobre la que se datos titulares 626

42 presta el servicio; tarjetas que ellos tienen en su por. c) Abstenerse incluir condiciones en la Asegúrese prestación l servicio que le autoricen o que exista un proceso permitan asumir la titularidad o propiedad la información sobre la que presta el servicio, y d) Guardar confincialidad respecto los establecido para comprometer a los proveedores servicios que incluya una auditoría Guías para evaluar la capacidad l proveedor servicios para proteger los datos l tarjetahabiente. datos personales sobre los que se preste el compra acuada servicio. previa al compromiso. Requisito A.1: Los proveedores hosting compartidos ben proteger el entorno datos titulares tarjetas. Guías específicas para la protección los datos los tarjetahabientes por parte los proveedores hosting compartido. 627

43 Para el tratamiento datos personales en servicios, aplicaciones e infraestructura en el nominado cómputo en la nube, en los que el responsable se adhiera a los mismos mediante condiciones o cláusulas generales contratación, sólo podrá utilizar aquellos servicios en los que el proveedor cuente con mecanismos, al menos, para: Paso 7. Implementación las Medidas Seguridad 2.4 Los proveedores servicio hosting compartido ben proteger el entorno hospedado y los datos l titular la tarjeta la entidad. Guías para evaluar que los proveedores hosting compartido estén protegiendo los datos l tarjetahabiente. 51 a) Dar a conocer cambios en sus políticas privacidad o condiciones l servicio que presta; b) Permitir al responsable limitar el tipo tratamiento los datos personales sobre los que se presta el servicio; c) Establecer y mantener medidas seguridad acuadas para la protección los datos personales sobre los que se preste Art II Aplicables a los Datos Personales. Cumplimiento Cotidiano Medidas Seguridad Mantenga un acuerdo escrito que incluya una mención que los proveedores servicios son responsables la seguridad los datos titulares tarjetas que ellos tienen en su por. Guías para el establecimiento acuerdos con los proveedores servicios y para que sean responsables la seguridad los datos l tarjetahabiente. 628

44 el servicio; Asegúrese Guías para evaluar la capacidad que exista un proceso l proveedor servicios para d) Garantizar la supresión los datos establecido para proteger los datos l personales una vez que haya concluido el comprometer a los tarjetahabiente. servicio prestado al responsable, y que este proveedores último haya podido recuperarlos, y servicios que incluya e) Impedir el acceso a los datos personales a una auditoría personas que no cuenten con privilegios compra acuada acceso, o bien en caso que sea a solicitud previa al compromiso. fundada y motivada autoridad competente, informar ese hecho al responsable. 629

45 TRANSFERENCIAS Cuando el responsable pretenda transferir los 52 datos personales a terceros nacionales o extranjeros, distintos l encargado, berá comunicar a éstos el aviso privacidad y las finalidas a las que el titular sujetó su tratamiento. El tratamiento los datos se hará conforme a lo convenido en el aviso privacidad, el cual contendrá una cláusula en la que se indique si el titular acepta o no la transferencia sus datos, igual manera, el tercero receptor, asumirá las mismas obligaciones que correspondan al Art. 36 Art. 68 Art. 71 Art. 72 Art. 74 Paso 7. Implementación las Medidas Seguridad Aplicables a los Datos Personales. Cumplimiento Cotidiano Medidas Seguridad Mantenga un acuerdo escrito que incluya una mención que los proveedores servicios son responsables la seguridad los datos titulares tarjetas que ellos tienen en su por. Guías para el establecimiento acuerdos con los proveedores servicios y para que sean responsables la seguridad los datos l tarjetahabiente. responsable que transfirió los datos. Paso Para efectos mostrar que la transferencia, sea ésta nacional o internacional, se realiza conforme a lo que establece la Ley y su, la carga la prueba recaerá, en todos los casos, en el responsable que transfiere y en el receptor los datos personales. Art. 69 Implementación las Medidas Seguridad Aplicables a los Datos Personales. Cumplimiento Cotidiano Medidas NO APLICA NO APLICA Seguridad. 630

46 Desarrollar y mantener una red segura. Guías para tener una red segura comunicaciones. Proteger los datos l Guías para protección datos En el caso transferencias datos titular la tarjeta. l tarjetahabiente. personales entre sociedas controladoras, Mantener un subsidiarias o afiliadas bajo el control común programa Guías para gestión l mismo grupo l responsable, o a una administración vulnerabilidas seguridad. sociedad matriz o a cualquier sociedad l vulnerabilidad. mismo grupo l responsable, el mecanismo Implementar medidas 54 para garantizar que el receptor los datos personales cumplirá con las disposiciones previstas en la Ley, su y más normativa aplicable, podrá ser la existencia normas internas protección datos Art Recomendación General sólidas control acceso. Supervisar y evaluar las res con regularidad. Guías para el control acceso. Guías para la revisión periódica seguridad la red. personales cuya observancia sea vinculante, Mantener una política Guías para finir y mantener una siempre y cuando éstas cumplan con lo seguridad política seguridad la establecido en la Ley, su y información. información. más normativa aplicable. Requisitos las PCI DSS adicionales para Guías para controlar la seguridad proveedores cuando se emplean a proveedores hosting compartido hosting compartido. (Anexo A). 631

47 55 La transferencia berá formalizarse mediante algún mecanismo que permita mostrar que el responsable transferente comunicó al responsable receptor las condiciones en las que el titular consintió el tratamiento sus datos personales. Art. 73 Art. 75 Paso 7. Implementación las Medidas Seguridad Aplicables a los Datos Personales. Cumplimiento Cotidiano Medidas Seguridad Mantenga un acuerdo escrito que incluya una mención que los proveedores servicios son responsables la seguridad los datos titulares tarjetas que ellos tienen en su por. Guías para el establecimiento acuerdos con los proveedores servicios y para que sean responsables la seguridad los datos l tarjetahabiente. 632