El PCI-DDS (Payment Card Industry Data Security Standard) consiste en un conjunto de normas de cumplimiento que contienen políticas de protección de los datos financieros y de pago de los consumidores. Cuando almacenan información de pago de los consumidores, las empresas tienen la obligación de cumplir la PCI-DSS, pues de lo contrario se arriesgan a fuertes sanciones en caso de infracción. Por ello se ofrecen directrices de seguridad que las organizaciones deben seguir para cumplir las normas.
¿Qué es la certificación PCI-DSS?
Para demostrar que una empresa cumple realmente las normas PCI-DSS, debe obtener la certificación PCI-DSS, demostrando que cumple las directrices establecidas. Las empresas financieras que controlan las tarjetas de crédito establecen las normas que deben cumplirse y, dada la velocidad a la que evoluciona el panorama de la seguridad informática, se reúnen periódicamente para revisar sus políticas de seguridad y modificar sus requisitos. El PCI-DSS define un conjunto de normas que las organizaciones deben seguir para obtener la certificación. Algunas de las prácticas exigidas para la certificación PCI-DSS son:
- Instalación de cortafuegos cuando sea necesario
- Cifrado de los datos enviados a y desde los proveedores
- Instalación de antivirus en todos los dispositivos corporativos
- Supervisión de las solicitudes de acceso a los recursos de la red
- Comprobaciones de autorización de los datos de los titulares de tarjetas
Niveles de cumplimiento del Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago
No todos los vendedores tienen el mismo volumen de negocio ni los mismos recursos de red, por lo que la norma PCI-DSS establece diferentes normas de cumplimiento en función del nivel del vendedor. Los niveles vienen determinados por el volumen de transacciones con tarjetas de crédito Visa. Todos los vendedores tienen la obligación de cumplir la norma PCI-DSS, independientemente de su tamaño, pero el nivel al que pertenezcan determinará las medidas que deben adoptar para lograr el cumplimiento.
PCI-DSS nivel 1
Pertenecen al Nivel 1 quienes procesan más de seis millones de transacciones Visa al año. Por lo general, se trata de grandes empresas globales, pero Visa puede clasificar a un proveedor a su discreción con vistas a reducir el riesgo. Una vez al año, el cumplimiento será evaluado por un auditor de Visa y los vendedores de nivel 1 deben presentar un escaneado de cumplimiento de la norma PCI utilizando un organismo autorizado.
PCI-DSS nivel 2
Cualquier vendedor con un volumen anual de transacciones Visa de entre un millón y seis millones. Los pertenecientes al Nivel 2 deben presentar un cuestionario de autoevaluación (SAQ) para garantizar el cumplimiento de los requisitos del Nivel 2 y someterse a un escaneado trimestral de cumplimiento de la PCI.
PCI-DSS nivel 3
Aquellos con un volumen de 20.000 a un millón de transacciones de comercio electrónico Visa al año. Los vendedores de nivel 3 deben presentar un cuestionario de autoevaluación (SAQ) para demostrar que cumplen los requisitos del nivel 3, además de tener que realizar escaneos trimestrales de cumplimiento de la norma PCI.
PCI-DSS nivel 4
Cuando el número de transacciones de comercio electrónico Visa es inferior a 20.000 al año o hasta un millón de transacciones Visa estándar al año, los vendedores pertenecen al Nivel 4. Para cumplir los requisitos del Nivel 4, deben presentar un cuestionario de autoevaluación (SAQ) y realizar escaneos trimestrales de cumplimiento de la PCI.
Requisitos PCI-DSS
Aunque la mayoría de las normativas de cumplimiento suelen exigir grandes cambios en la infraestructura y la adopción de herramientas de seguridad especiales, la PCI-DSS tiene muy pocos requisitos, pero muy importantes. Cualquier error o descuido en los requisitos podría acarrear fuertes sanciones, por lo que es crucial que las empresas cumplan las directrices de la PCI-DSS adoptando los controles adecuados.
Las empresas de tarjetas de crédito imponen 12 requisitos a las empresas para que sigan cumpliendo las normas PCI-DSS. El objetivo de las normas es proteger los datos de los titulares de tarjetas, por lo que los requisitos se refieren básicamente a la protección de la información sensible frente a las ciberamenazas. Cualquier cambio en los requisitos es anunciado y hecho público por el Consejo de Seguridad, por lo que será necesario que las empresas los revisen anualmente para asegurarse de que se siguen cumpliendo los requisitos de conformidad.
Los 12 requisitos de la PCI-DSS son:
1 – Instalar cortafuegos configurándolos para bloquear el tráfico peligroso
La mayoría de las empresas ya tienen un cortafuegos en su red que actúa como barrera entre la infraestructura interna y la red Internet externa. Pero en redes más grandes y estructuradas, donde quizá también se ofrezca Wi-Fi pública y los distintos departamentos deban mantenerse separados, es necesario disponer de cortafuegos adicionales. Por ejemplo, para proteger los datos de los titulares de tarjetas, debe utilizarse un cortafuegos que separe el departamento financiero y sus datos del departamento de ventas.
2 – No utilice las contraseñas predeterminadas del sistema proporcionadas por los fabricantes de dispositivos
Para facilitar el trabajo de los administradores de red, cada dispositivo de red se suministra ya funcional, con una contraseña por defecto establecida por el fabricante. Estas contraseñas, sin embargo, se distribuyen públicamente, lo que hace que los recursos de la red sean accesibles a los atacantes. Después de conectar un dispositivo a la red, lo primero que debe hacer un administrador es cambiar la contraseña por defecto por una nueva contraseña segura que sea difícil de adivinar pero lo suficientemente fácil de recordar.
3 – Proteger los datos financieros almacenados de los consumidores
Puede parecer obvio, pero no todas las empresas almacenan datos de tarjetas de crédito y no todas toman medidas para garantizar la debida seguridad. Por ejemplo, los datos de las tarjetas de crédito deben encriptarse cuando se almacenan en una base de datos y nadie dentro de la empresa debe tener libre acceso a ellos. Cualquier solicitud de acceso debe ser supervisada y debe mantenerse un registro de auditoría que pueda consultarse en caso de infracción.
4 – Los datos financieros que circulen por redes públicas deben cifrarse
Para viajar por Internet y dentro de las redes públicas, los datos financieros deben cifrarse para evitar escuchas. Los usuarios introducen los datos de su tarjeta de crédito en un sitio de comercio electrónico y esta información debe estar cifrada. El vendedor envía los datos de la tarjeta de crédito a un procesador y éste también debe encriptarlos. Algunas empresas, las más estructuradas, también cifran el tráfico dentro de la red corporativa.
5 – Instale y actualice periódicamente programas antivirus
Todos los servidores y estaciones de trabajo de la empresa deben tener instalado un software antivirus. Mejor aún, el antivirus debería instalarse también en cualquier dispositivo móvil que almacene o procese datos de tarjetas de crédito. Con la creciente popularidad de los smartphones, proteger todo tipo de endpoint e invertir en seguridad móvil debería convertirse en una prioridad para las empresas que aceptan pagos a través de dispositivos móviles.
6 – Disponer de sistemas integrados de protección de datos
Los sistemas de la red cambian constantemente y, a medida que la empresa crece, los administradores siempre añaden otros nuevos. Cada vez que se instala un nuevo sistema dentro de la infraestructura corporativa, debe integrarse teniendo en cuenta la seguridad. La nueva infraestructura debe ser segura, y cada recurso debe configurarse con el objetivo de garantizar la seguridad de los datos de las tarjetas de crédito.
7 – Utilizar la norma de mínimo privilegio para el acceso a los datos
Los usuarios sólo deben tener acceso a los datos de las tarjetas de crédito si es necesario para realizar sus tareas laborales. Los datos de las tarjetas de crédito corren el riesgo de sufrir amenazas internas, por lo que sólo debe autorizarse el acceso a ellos a los empleados que lo necesiten estrictamente para realizar una determinada tarea. En algunos casos, parte del número de la tarjeta de crédito se enmascara para aumentar la seguridad. Por ejemplo, los empleados del servicio de atención al cliente sólo pueden ver los cuatro últimos dígitos de la tarjeta de crédito, a diferencia de los que trabajan en el departamento de facturación, que en cambio pueden ver el número completo para ayudar a los clientes a cambiar el número de tarjeta que figura en el archivo.
8 – Seguimiento mediante identificación de usuario de todas las solicitudes de acceso a datos de tarjetas de crédito
Tanto si se trata de una cuenta comprometida como de una amenaza interna, el registro de las solicitudes de acceso con el ID de usuario dejará un rastro útil en caso de investigación. Los investigadores y las fuerzas de seguridad utilizan los registros de auditoría para identificar al autor de una violación, y de forma similar son importantes en las fases de respuesta a incidentes porque ayudan a identificar el alcance de los daños y qué consumidores se han visto afectados por una violación de datos.
9 – Restricción del acceso físico a los datos de las tarjetas de crédito
Los servidores en los que se almacena información de tarjetas de crédito deben contar con medidas de seguridad física adecuadas. En el caso de las empresas que almacenan datos de tarjetas de crédito en el cloud, los propios proveedores de servicios cloud deben cumplir la norma PCI-DSS. Cualquier solicitud de acceso a la infraestructura debe quedar registrada, de modo que quede un rastro para posibles auditorías e investigaciones.
10 – Registrar y supervisar las solicitudes de acceso a los recursos de red en los que se almacenan datos de tarjetas de crédito.
La supervisión del acceso a los datos es un requisito común en muchas normativas. Los registros y la supervisión van de la mano en el ámbito de la seguridad y la protección de datos. Los registros hacen un seguimiento de las solicitudes de acceso, mientras que las herramientas de supervisión utilizan estos eventos para identificar anomalías que desencadenan notificaciones a los administradores. La supervisión sirve a los analistas para identificar rápidamente los incidentes y responder con celeridad para contenerlos y limitar los daños derivados de una violación.
11 – Pruebe a menudo los sistemas y procedimientos de seguridad
Puede ocurrir que los sistemas de seguridad fallen ocasionalmente o no funcionen como deberían, por lo que es importante que los administradores comprueben periódicamente los controles de seguridad en toda la infraestructura. Algunas empresas organizan eventos centrados en la seguridad, ofreciendo recompensas a los empleados que consigan encontrar vulnerabilidades en sistemas y recursos. Además de las auditorías anuales, los administradores deben evaluar periódicamente la documentación de cumplimiento de la norma PCI-DSS para asegurarse de que siempre la cumplen.
12 – Documentar las políticas de seguridad y distribuirlas a los empleados
Los empleados no pueden seguir las políticas de seguridad si no las conocen. La norma PCI-DSS exige a los empresarios que elaboren y documenten políticas de seguridad para que los empleados puedan consultarlas y entender claramente lo que hay que hacer y la forma correcta de tratar los datos de los clientes.
¿Qué ventajas aporta la norma PCI-DSS?
Cumplir con la normativa requiere sin duda un gran esfuerzo, pero cumplir con la PCI-DSS también aporta muchos beneficios en términos económicos, por lo que le interesa seguir las directrices y cumplir con los requisitos de seguridad establecidos por la PCI-DSS, haciendo todo lo necesario para proteger los datos de los titulares de tarjetas.
Los beneficios incluyen:
- Mayor confianza de los clientes. Cuando realizan pagos, los clientes quieren tener la tranquilidad de que sus datos están seguros. Contar con la certificación de conformidad PCI-DSS comunica que su empresa hace lo necesario para proteger la información de las tarjetas de crédito.
- Prevención de filtraciones de datos. Cualquier organización que almacene datos confidenciales, como los de las tarjetas de crédito, debe dar prioridad a la seguridad. La norma PCI-DSS ayuda a las organizaciones a prevenir y bloquear ciberataques que podrían causar daños importantes y enormes pérdidas económicas.
- Cumplir las normas mundiales. El Payment Card Industry Security Standards Council (PCI SSC) agrupa a las principales empresas de tarjetas de crédito del mundo y ofrece información actualizada sobre las últimas tendencias en ciberseguridad. Algunos proveedores pueden exigirle que mantenga el cumplimiento de la norma PCI-DSS para poder hacer negocios con ellos.
- Ayuda a implantar controles de seguridad adecuados. No es nada fácil desenmarañar las innumerables soluciones de seguridad del mercado si no se dispone de un equipo interno dedicado a la ciberseguridad. Los marcos PCI-DSS ofrecen orientación a este respecto. La implantación de la PCI-DSS también orienta a los administradores sobre los controles de seguridad que deben adoptarse para proteger eficazmente los datos de las tarjetas de crédito.
- Proporciona directrices para otras normas de cumplimiento. La mayoría de las empresas están obligadas a cumplir varias normas. La aplicación de las normas PCI-DSS permitirá a la empresa cumplir también otras normas. Por ejemplo, los marcos de PCI-DSS también son importantes para el cumplimiento de HIPAA y GDPR.
Incumplimiento de la norma PCI-DSS
El incumplimiento de la norma PCI-DSS acarrea graves consecuencias. Sufrir una violación de datos puede costar a una empresa millones de euros para reparar los daños y cubrir los costes de los litigios derivados de demandas colectivas. Las cinco consecuencias principales son:
- Sanciones mensuales: Disponer de una infraestructura que no cumple las normas pone en peligro los datos de las tarjetas de crédito de los consumidores, razón por la cual la norma PCI-DSS establece fuertes sanciones mensuales por infracciones que, en función del nivel del proveedor, oscilan entre 5.000 y 100.000 dólares al mes.
- Compromiso del sistema y violación de datos: los sistemas de seguridad insuficientes dejan margen para que los ciberdelincuentes aprovechen las vulnerabilidades para violar los datos, lo que provoca daños económicos que pueden alcanzar millones de euros en respuesta a los incidentes. Además de dar lugar a largas investigaciones, pérdida de confianza de los clientes y probables litigios.
- Acciones legales: Las infracciones más graves llevan a los clientes a organizarse en verdaderas demandas colectivas para obtener una indemnización por los daños sufridos. Las empresas también tendrán que hacer frente a los costes de asesoramiento legal y a los posibles reembolsos que se concedan en los tribunales.
- Daño a la reputación corporativa: Si se sabe que una empresa presta poca atención a la seguridad, los clientes se irán a la competencia. El daño de imagen resultante afecta negativamente a la lealtad y confianza de los clientes.
- Pérdidas económicas: Al huir los clientes a la competencia, la empresa pierde ingresos, que se ven mermados aún más por los costes derivados de la acción judicial.
Best practice para la conformidad PCI-DSS
La mayoría de las «best practices» de PCI-DSS siguen los requisitos, pero las empresas tienen la opción de aplicar políticas adicionales para mejorar la seguridad. Algunas prácticas adicionales a tener en cuenta son las siguientes:
- Mantener actualizado el software: los desarrolladores publican periódicamente actualizaciones que corrigen problemas de seguridad en su software, por lo que es importante aplicar siempre actualizaciones y parches de seguridad para evitar dejar vulnerable la infraestructura.
- Tokenización de datos de tarjetas de crédito: el proceso de tokenización es similar al de cifrado. Sustituye los datos sensibles por datos no sensibles, conservando únicamente los elementos de los datos originales que son esenciales para garantizar la continuidad de las operaciones comerciales.
- Asignar un identificador único a cada usuario y recurso: los administradores asignan identificadores únicos a los usuarios, pero cualquier componente que acceda a los datos debe tener también un identificador único para hacer un seguimiento de las solicitudes de acceso.
- Proteja las contraseñas: exija a todos los usuarios que almacenen sus contraseñas de forma segura. Recomendamos el uso de gestores de contraseñas para garantizar la seguridad de las mismas.
- Software para Pruebas de Penetración y Configuraciones de redes: Contratar a un hacker de sombrero blanco para que pruebe tu infraestructura te permitirá identificar agujeros de seguridad y vulnerabilidades en tu red y software, de modo que puedas tomar contramedidas para resolverlos.
Cómo puede ayudarle 365TRUST
365TRUST ofrece numerosas soluciones que permiten a las empresas alcanzar y mantener la conformidad con PCI-DSS, garantizando el cumplimiento de los requisitos de protección de datos en una amplia gama de sectores, como PCI, HIPAA y GDPR, así como la protección de sus datos empresariales más sensibles, como la propiedad intelectual, los documentos legales y los acuerdos de fusión y adquisición. Nuestras herramientas y recursos de protección de datos garantizan la seguridad de los datos de los consumidores, protegiéndolos de ataques.
Mantener el cumplimiento de la normativa es importante para la continuidad de la empresa, aunque cumplirla por sí solo no sea suficiente para mantener a su empresa completamente a salvo de todas las amenazas. Por lo general, las empresas deben cumplir múltiples normativas y 365TRUST le ayudará a encontrar el equilibrio adecuado entre cumplimiento y seguridad.