This post is also available in: Português Español
Aunque hoy las tarjetas de crédito son utilizadas a diario, no es nuevo que los cibercriminales se sientan atraídos a ellas. La razón, son fuentes ricas en información y recursos financieros, por lo que viven bajo ataque.
Por eso es que existe, desde hace más de 15 años el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS), que es un conjunto de normas de seguridad creado por grandes nombres del mercado, como Visa, MasterCard, Discover Financial Services, JCB International y American Express. Gerenciado por Payment Card Industry Security Standards Council (PCI SSC), la certificación tiene el objetivo de proteger las transacción con tarjetas de crédito y débito contra robo de datos y fraude.
En este contexto, el PCI es esencial para cualquier empresa que procese transacciones con tarjetas de crédito o débito. La certificación también se considera una de las mejores formas de proteger los datos y la información confidencial.
¿Cómo funciona el PCI?
La certificación PCI garantiza la seguridad de los datos de las tarjetas mediante un conjunto de requisitos establecidos por el PCI SSC. Eso incluye varias prácticas recomendadas que son muy conocidas, como implementación de productos para la seguridad perimetral de red, como firewalls, criptografía en transmisiones de datos, productos para la seguridad de endpoints, además de la aplicación de controles y procesos para garantizar la protección de los datos.
Por ello, tener un nivel de seguridad compatible con lo que exige el PCI acaba mostrando a los clientes que la empresa es segura para realizar transacciones. Después de todo, en caso de una fuga de datos en lugares sin certificación, el coste del propio incidente y la mancha en la reputación de la empresa se vuelven inmensos, lo que hace que los directivos se tomen en serio la seguridad de los datos.
Una filtración de datos que revele información confidencial de los clientes probablemente tendrá graves repercusiones. Algo que puede resultar en multas por parte de los operadores de tarjetas, demandas judiciales, una disminución de las ventas y una imagen comprometida ante el mercado.
Tras sufrir un ataque, una empresa puede tener que dejar de aceptar transacciones con tarjeta de crédito, o verse obligada a pagar tasas posteriores superiores al costo inicial del cumplimiento de la seguridad. Invertir en los procedimientos de seguridad de PCI contribuye en gran medida a garantizar que otros aspectos de la empresa estén protegidos de los ciberdelincuentes.
Niveles de millones
Cumplir con el PCI se divide en cuatro niveles, en función del número anual de transacciones con tarjeta de crédito o débito. El nivel de clasificación determina lo que una empresa debe hacer para seguir cumpliendo la normativa.
- Nivel 1:
Se aplica a quienes procesan más de 6 millones en transacciones de tarjetas de crédito o débito al año. Realizadas por un auditor autorizado de PCI, deben someterse a una auditoría interna anual. Además, cada trimestre deben someterse a un escaneo PCI por parte de un Proveedor de Escaneo Aprobado (ASV).
- Nivel 2:
Para aquellos que procesan entre 1 y 6 millones de transacciones de tarjetas de crédito o débito al año. Están obligados a realizar una evaluación anual por medio de un cuestionario de autoevaluación (SAQ). Además, puede ser necesario un escaneo trimestral de la PCI.
- Nivel 3:
Dirigido a empresas que procesan entre 20.000 y 1 millón de transacciones. Deben completar una evaluación anual utilizando el SAQ correspondiente. También puede ser necesario un escaneo trimestral de PCI.
- Nivel 4:
Para empresas que procesan menos de 20.000 transacciones cada doce meses. Debe completarse una evaluación anual utilizando el SAQ correspondiente y puede ser necesario un escaneo PCI trimestral.
Requisitos del PCI
Los organizadores del PCI SSC han determinado 12 requisitos para manejar los datos de los titulares de las tarjetas y mantener una red segura. Distribuidos entre 6 objetivos más amplios, todos son necesarios para que una empresa se torne compatible.
* Objetivo 1: Red segura
- Requisito 1: Debe implementarse y mantener una solución de firewall
- Requisito 2: Las contraseñas del sistema deben ser originales (no las provistas por proveedores)
* Objetivo 2: Datos seguros
- Requisito 3: Los datos almacenados del titular de la tarjeta deben ser protegidos
- Requisito 4: La transmisión de los datos de los titulares de las tarjetas a través de las redes públicas debe estar encriptada
* Objetivo 3: Gestión de vulnerabilidades
- Requisito 5: Implementar soluciones de seguridad de endpoints y mantenerlas actualizadas
- Requisito 6: Sistemas y aplicaciones deben respetar los criterios de seguridad y estar actualizados
* Objetivo 4: Control de acceso
- Requisito 7: El acceso a los datos del titular de la tarjeta debe estar restringido
- Requisito 8: Cada persona debe tener un ID único para acceder a los dispositivos
- Requisito 9: El acceso físico a los datos del titular de la tarjeta debe estar restringido
* Objetivo 5:Supervisión y prueba de red
- Requisito 10: El acceso a los datos del titular de la tarjeta y a los recursos de la red debe ser rastreado y supervisado
- Requisito 11: Los sistemas y procesos de seguridad deben ser evaluados regularmente
* Objetivo 6: Seguridad de la información
- Requisito 12: Debe mantenerse una política de Seguridad de la información
Firewalls
Desde su formación, PCI DSS pasó por varias actualizaciones para seguir los cambios del escenario de amenazas online. Aunque las normas básicas de cumplimiento siguen siendo las mismas, periódicamente se añaden nuevos requisitos.
Una de las adiciones más significativas fue el Requisito 6.6, introducido en el 2008. Fue establecido para proteger los datos contra algunos vectores de ataque de aplicaciones Web más comunes, incluyendo inyecciones de SQL, RFIs y otras entradas maliciosas. Usando esos métodos, los criminales pueden obtener acceso a una serie de datos e información confidencial de clientes.
Cumplir con este requisito se puede lograr revisando el código de la aplicación, o implementando un WAF (Web Aplication Firewall).
La primera opción incluye una revisión manual del código fuente de la aplicación web, junto con una evaluación de vulnerabilidad de seguridad de la aplicación. Requiere que un recurso interno calificado o un tercero realice la revisión, mientras que la aprobación final debe provenir de una organización externa.
Además, el encargado de la revisión debe estar al día de las últimas tendencias en materia de seguridad de las aplicaciones web para asegurarse de que todas las amenazas futuras se abordan adecuadamente.
Como alternativa, las empresas también pueden invertir en soluciones WAF para inspeccionar todo el tráfico entrante y filtrar los ataques, evitando comprometer las aplicaciones utilizadas.
This post is also available in: Português Español