Martes, Mayo 29, 2018

Sigo pensando que hoy en día no existe suficiente claridad respecto al objetivo del estándar PCI y respecto a quiénes están sujetos a su cumplimiento.  El cumplimiento lo exigen las entidades emisoras de las tarjetas de crédito (VISA, Master Card, AMEX), y no el Consejo de PCI (PCI Council).

En 2006, un grupo de cinco entidades financieras, preocupado por el alto índice de fraudes con tarjetas, se reunió para crear un programa de seguridad de datos y fundaron un consejo denominado PCI Security Standards Council. Este grupo está conformado por American Express, Discover Financial Services, JCB International, MasterCard y VISA, aunque posteriormente muchas otras organizaciones se han sumado a los esfuerzos para mejorar los estándares y vigilar su cumplimiento.

Así nació el estándar PCI-DSS que significa Payment Card Industry – Data Security Standard y consiste en una serie de normas de seguridad que exigen 12 requerimientos de seguridad agrupados en 6 categorías.

¿CUÁLES SON LOS PRINCIPIOS QUE BUSCA PROTEGER?

Construir y mantener redes seguras.

  • Proteger la información de los titulares de la tarjeta
  • Contar con programas de pruebas de vulnerabilidades
  • Implementar controles de acceso robustos.
  • Monitorear y probar acceso a la red regularmente.
  • Mantener políticas de seguridad de la información.

¿A QUIÉNES SE LES APLICA?

El criterio para determinar si el establecimiento debe cumplir con PCI es muy sencillo: deberán hacerlo siempre que transmitan, procesen o almacenen datos de tarjetas de crédito. Por lo general, estos establecimientos caen en comercios minoristas, bancos, e-commerce y proveedores de servicio de estos mismos.

Aunque tengas los datos externalizados, no siempre se trasfiere el 100% a un proveedor externo y puedes seguir estando expuesto a la sanción.

¿QUIÉN ES QUIÉN?

Un punto importante que no se debe perder de vista y que habíamos mencionado previamente es que quien exige el cumplimiento de PCI a los establecimientos afiliados a tarjetas de crédito es la entidad financiera (ej. VISA), y no el PCI Council, que es sólo un organismo regulador.

Para facilidad en la vigilancia y apoyo en el cumplimiento del estándar, el PCI Council creó diferentes figuras de manera que los establecimientos obtengan la ayuda adecuada de los expertos en seguridad que les orienten y evalúen el cumplimiento, como sigue:

QSA (Qualified Security Assessor).- Este tipo de entidad es un externo que está calificado por el PCI Council para realizar evaluaciones de cumplimiento del estándar. Para ello pasa a su vez por un proceso de certificación.

ASV (Approved Scanning Vendor).- Este tipo de entidad es un externo que está calificado para validar el apego al estándar PCI DSS realizando escaneos de vulnerabilidades de ambientes de cara a Internet, de establecimientos y proveedores de servicios.

PA-QSA (Payment Application-Qualified Security Assessor).- El estándar PA-DSS aplica a los fabricantes de software y otros componentes que desarrollan aplicaciones que almacenen, procesen o transmitan datos del tarjetahabiente o de la tarjeta. El PA-QSA es el tipo de entidad externo que está calificado para certificar el cumplimiento del fabricante del PA-DSS.

¿QUÉ SERVICIOS EXISTEN ALREDEDOR DE PCI?

Como proveedor de seguridad de la información, existen varios caminos para apoyar a la industria en el cumplimiento del estándar PCI:

  • Certificarse en alguna de las figuras mencionadas, con un foco especial.
  • Proporcionar servicios relacionados con los controles que solicita el estándar.

En cualquiera de estos esquemas, el valor que un proveedor de seguridad puede ofrecer es su experiencia y visión en la mitigación de riesgos y en la protección de datos sensibles.

¿CUÁLES SON LOS REQUISITOS ESPECÍFICOS QUE SE DEBEN CUMPLIR PARA PCI?

A continuación, se listan brevemente los requisitos:

  • Instalar y mantener una configuración de firewall para proteger los datos de las tarjetas.
  • No usar contraseñas y otros parámetros de seguridad como vienen de fábrica (valores por omisión).
  • Proteger los datos del titular de la tarjeta que fueron almacenados.
  • Cifrar la transmisión de los datos de las tarjetas a través de redes públicas.
  • Utilizar un software antivirus y actualizarlo regularmente.
  • Desarrollar y mantener sistemas y aplicaciones seguras.
  • Restringir el acceso a los datos de las tarjetas conforme a la necesidad de la empresa.
  • Asignar nombres de usuario únicos a cada persona que tenga acceso al sistema.
  • Limitar el acceso físico a los lugares donde se almacenen datos de las tarjetas.
  • Rastrear y supervisar los accesos a los recursos de red y los datos de los titulares de las tarjetas.
  • Probar los sistemas y procesos de seguridad regularmente.
  • Mantener una política que aborde la seguridad de la información.

Para cada uno de estos requisitos, existe una gama de servicios e infraestructura de apoyo al establecimiento, orientados a la seguridad de su operación sensible, y por ende al cumplimiento del estándar.

Álvaro Fraile Hernández, CEO en ITS Security