PCI DSS

El Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard o PCI DSS) es una lista de estándares de conformidad que contiene políticas sobre la protección de los datos financieros y de pago de los consumidores. Las organizaciones deben cumplir con el PCI DSS cuando almacenan información de pago de los consumidores o se arriesgan a pagar cuantiosas multas por infracciones. El consejo de estándares ofrece un marco de seguridad que las organizaciones deben seguir para garantizar que cumplen con los estándares.

Para saber si una organización cumple realmente con las regulaciones PCI DSS, debe obtener la certificación PCI DSS; la certificación implica seguir una serie de prácticas recomendadas. Las compañías de tarjetas de crédito estipulan los estándares y se reúnen regularmente para revisar las prácticas recomendadas y cambiar los requisitos a medida que evoluciona el panorama de la ciberseguridad. PCI DSS establece un marco que las organizaciones deben seguir para garantizar que están certificadas. Algunas prácticas necesarias para la certificación son:

• Firewalls instalados en las ubicaciones de red necesarias.
• Cifrado de los datos enviados a y desde los entornos comerciales.
• Instalación de software antivirus en todos los dispositivos corporativos.
• Supervisión de las solicitudes de acceso a los recursos de red.
• Controles de autorización de los datos de los titulares de tarjetas.

No todos los comerciantes tienen el mismo volumen de ventas y recursos de red, por lo que el PCI Data Security Standard, clasifica las normas de cumplimiento en función de los niveles de comerciante. Los niveles de comerciante se determinan en función del volumen de transacciones con tarjetas de crédito Visa. La conformidad con PCI-DSS afecta a comerciantes de cualquier tamaño, pero el nivel de comerciante determinará la validación de seguridad necesaria para el cumplimiento.

Los niveles de comerciante son:

• Nivel 1: Cualquier comerciante que procese más de seis millones de transacciones Visa al año. Estos negocios suelen ser empresas globales muy grandes, y Visa puede clasificar a un comerciante a su discreción para reducir el riesgo. Un auditor de Visa evaluará el cumplimiento una vez al año, y los comerciantes de Nivel 1 deben presentar un escaneo PCI utilizando un proveedor de escaneo aprobado.
• Nivel 2: Cualquier comerciante que procese entre un millón y seis millones de transacciones Visa al año. Los comerciantes de nivel 2 deben enviar un cuestionario de autoevaluación (SAQ) para garantizar que cumplen los requisitos de nivel 2 y realizar análisis PCI trimestrales.
• Nivel 3: Cualquier comerciante que procese entre 20 000 y un millón de transacciones de comercio electrónico Visa al año. Los comerciantes de nivel 3 deben enviar un cuestionario de autoevaluación (SAQ) para garantizar que cumplen los requisitos de nivel 3 y realizar análisis PCI trimestrales.
• Nivel 4: Cualquier comerciante que procese menos de 20 000 transacciones de comercio electrónico de Visa al año, o comerciantes que procesen hasta un millón de transacciones estándar de Visa al año. Los comerciantes de nivel 4 deben enviar un cuestionario de autoevaluación (SAQ) para garantizar que cumplen los requisitos de nivel 4 y realizar análisis PCI trimestrales.

Aunque la mayoría de las normativas de cumplimiento exigen numerosos cambios en la infraestructura y herramientas de seguridad, PCI DSS tiene muy pocos requisitos, pero son fundamentales. Cualquier error u omisión en los requisitos podría dar lugar a fuertes multas, por lo que es imprescindible que las organizaciones revisen las directrices de PCI DSS y apliquen los controles adecuados a su entorno.

Las empresas de tarjetas de crédito imponen 12 requisitos que las organizaciones deben cumplir para mantener la conformidad con PCI-DSS. Las normas tienen como objetivo proteger los datos de los usuarios titulares de tarjetas, por lo que los requisitos giran en torno a las numerosas formas en que las amenazas violan las defensas de la red y permiten a los atacantes robar información crítica. Cualquier cambio en los requisitos actuales es anunciado y publicado por el Consejo de Seguridad, por lo que las organizaciones deben revisarlos anualmente para asegurarse de que cumplen continuamente los requisitos de conformidad.

Los 12 requisitos del PCI-DSS son:

1. Instalar firewalls y configurarlos para bloquear el tráfico malicioso. La mayoría de las organizaciones ya tienen un firewall instalado entre Internet exterior y el entorno interno, pero se necesitan otros en entornos más grandes donde se ofrece wifi público, y los departamentos deben estar segmentados. Por ejemplo, las organizaciones deben utilizar un firewall para separar los departamentos financieros y sus datos del departamento de ventas para proteger los datos de los titulares de tarjetas.
2. Evitar utilizar las contraseñas predeterminadas del proveedor para el sistema. Todos los recursos de red se envían con la contraseña predeterminada del fabricante para que los administradores puedan configurar el hardware para que funcione específicamente con la infraestructura de la empresa. Estas contraseñas se distribuyen abiertamente al público, lo que significa que los atacantes pueden acceder a los recursos de la red sin obtener credenciales. Después de conectar un componente a la red, el primer paso para un administrador es cambiar la contraseña predeterminada por la suya propia. Preferiblemente, contraseñas difíciles de adivinar, pero fáciles de recordar.
3. Proteger los datos financieros almacenados de los consumidores. Este requisito puede parecer obvio, pero no todas las organizaciones almacenan información de tarjetas de crédito y no todas las organizaciones hacen lo necesario para garantizar la seguridad básica. Por ejemplo, los datos de las tarjetas almacenados en una base de datos deben estar cifrados y nadie dentro de la organización debe tener acceso ilimitado a ellos. Deben supervisarse todas las solicitudes de acceso y crearse una pista de auditoría para responder a incidentes en caso de infracción.
4. Los datos financieros transferidos a través de redes públicas deben estar cifrados. Los datos que pasan por Internet deben estar cifrados para evitar escuchas. Los usuarios envían la información de su tarjeta de crédito en un sitio de comercio electrónico, y esta información debe estar cifrada. Los comerciantes envían los datos de las tarjetas de crédito a un procesador, y deben estar cifrados cuando pasan a los servicios del comerciante. Algunas organizaciones llevan la seguridad a otro nivel y cifran el tráfico dentro de la red corporativa.
5. Instalar y mantener un software antivirus. Todos los servidores y estaciones de trabajo de la organización deben tener instalado un software antivirus. Para ir un paso más allá, cualquier dispositivo móvil que almacene o procese datos de tarjetas de crédito también debe tener instalado un software antivirus. La seguridad de los puntos finales es un reto más reciente para las organizaciones debido a la creciente popularidad de los teléfonos inteligentes, pero debería ser una prioridad para las organizaciones que aceptan pagos a través de dispositivos móviles.
6. Añadir sistemas con protección de datos. Los sistemas cambian constantemente y los administradores añaden otros nuevos a medida que la empresa crezca. Cualquier sistema instalado dentro de la infraestructura corporativa debe integrarse teniendo en cuenta la seguridad. La nueva infraestructura debe instalarse con la seguridad integrada, y cualquier configuración debe establecerse teniendo en cuenta la seguridad de los datos de las tarjetas de crédito.
7. Utilizar estándares de privilegios mínimos para el acceso a los datos. Los usuarios solo deben tener acceso a los datos de las tarjetas de crédito si es necesario para realizar sus funciones laborales. Las amenazas internas suponen un riesgo de exposición de los datos de las tarjetas de crédito, por lo que solo deben tener acceso los empleados que lo necesiten para realizar una función laboral. En algunos casos, se puede ocultar una parte del número de la tarjeta de crédito para aumentar la seguridad. Por ejemplo, el personal de atención al cliente puede ver los cuatro últimos dígitos de un número de tarjeta de crédito, pero no el número completo, mientras que el departamento de facturación puede ver el número completo para ayudar a los clientes a cambiar su número de tarjeta registrado.
8. Registrar las solicitudes de acceso con el ID de usuario que recupera los datos de la tarjeta de crédito. Ya sea una cuenta comprometida o un empleado malintencionado, registrar cada solicitud de acceso con el ID de usuario dejará una pista de auditoría. Los investigadores y las autoridades utilizan los registros de auditoría para identificar a un actor malintencionado, y ayudan a los equipos de respuesta a incidentes a identificar el alcance de los daños y los consumidores afectados por una violación de datos.
9. Limitar el acceso físico a los datos de las tarjetas de crédito. Los servidores que almacenan información de tarjetas de crédito deben contar con las medidas de seguridad física adecuadas. En el caso de las organizaciones que almacenan datos de tarjetas de crédito en la nube, el proveedor de la nube debe proporcionar políticas que sigan los estándares PCI-DSS. La seguridad física también debe registrar las solicitudes de acceso a la infraestructura para crear un registro de auditoría.
10. Registrar y supervisar las solicitudes de acceso a los recursos de red que almacenan datos de tarjetas de crédito. La supervisión del acceso a los datos es un componente de diversas normativas de cumplimiento. Los registros y la supervisión van de la mano en la protección y seguridad de los datos. Los registros rastrean los eventos de solicitud de acceso, y las herramientas de supervisión utilizan estos eventos para identificar anomalías que activan notificaciones enviadas a los administradores. Los analistas utilizan la supervisión para responder rápidamente a los incidentes en curso para contenerlos y limitar los daños de una filtración.
11. Poner a prueba los sistemas y procedimientos de seguridad con frecuencia. Los sistemas de seguridad fallan ocasionalmente o no funcionan como se espera, por lo que es importante que los administradores prueben regularmente los controles de seguridad en todo el entorno. Algunas organizaciones realizan eventos de seguridad en los que ofrecen premios a los empleados por encontrar recursos vulnerables. Además de las pruebas anuales, los administradores deben revisar la documentación de cumplimiento de PCI-DSS para detectar cualquier cambio.
12. Documentar las políticas de seguridad y distribuirlas entre los empleados. El personal no puede seguir las políticas de seguridad si no sabe qué políticas debe seguir. PCI-DSS exige a los empleadores que documenten las políticas de seguridad para que los empleados puedan consultar lo que hay que hacer e identificar las formas adecuadas de manejar los datos de los clientes.

Se requiere mucho trabajo para mantener la conformidad, pero seguir los estándares PCI-DSS tiene muchos beneficios. Muchos de estos beneficios tienen un impacto positivo en sus ingresos, por lo que ayuda a seguir las pautas y proteger los datos de los titulares de tarjetas utilizando los requisitos de seguridad establecidos en los estándares PCI-DSS.

Los beneficios comprenden:

• Aumento de la confianza del cliente. Los clientes quieren saber que sus datos están seguros y el cumplimiento de PCI-DSS comunica que su organización entiende lo que debe hacerse para proteger la información de las tarjetas de crédito.
• Prevención de filtraciones de datos. La ciberseguridad debe ser una prioridad para cualquier organización que almacene datos sensibles, como la información de tarjetas de crédito. Cada estándar PCI-DSS ayuda a las organizaciones a detener los ciberataques que podrían resultar en un evento que afecte a los ingresos.
• Cumplimiento de las normas globales. El Consejo para PCI-DSS está compuesto por empresas de tarjetas de crédito de todo el mundo con conocimientos sobre las últimas tendencias en ciberseguridad. Algunos proveedores y proveedores de servicios comerciales pueden exigirle que cumpla con PCI-DSS para hacer negocios con ellos.
• Ayuda con los controles de seguridad adecuados. Sin un equipo de seguridad dedicado, es difícil navegar a través de las muchas opciones de ciberseguridad disponibles. Los marcos de PCI-DSS le guían en la dirección correcta. La aplicación de las normas PCI-DSS ofrece a los administradores orientación sobre los controles de seguridad necesarios para proteger adecuadamente los datos de las tarjetas de crédito.
• Proporciona directrices para otras normas de cumplimiento. La mayoría de las organizaciones tienen que observar múltiples estándares de cumplimiento. La aplicación de las normas PCI-DSS a los controles de seguridad permitirá a la empresa cumplir con otras normas. Por ejemplo, los marcos PCI-DSS ayudan a cumplir con la HIPAA y el RGPD.

El incumplimiento de la PCI-DSS tiene graves consecuencias. Después de una filtración de datos, una organización podría verse obligada a pagar millones en multas por concepto de infracciones y costes de litigios por demandas colectivas. Las cinco principales consecuencias son:

• Multas mensuales: Los entornos que no cumplen con la normativa ponen en riesgo los datos de las tarjetas de crédito de los consumidores, por lo que el PCI-DSS impone fuertes multas mensuales por las infracciones. Las sanciones dependen del nivel del comerciante, pero las multas oscilan entre 5000 y 100 000 dólares al mes.
• Compromiso del sistema y filtraciones de datos: La falta de seguridad crea vulnerabilidades que conducen a filtraciones de datos. Las filtraciones de datos cuestan millones de dólares en respuesta a incidentes, investigaciones, pérdida de confianza de los clientes y litigios.
• Litigios: Las filtraciones graves de datos causan estrés financiero a los consumidores, y las demandas colectivas les otorgan indemnizaciones. Las organizaciones deben pagar por el asesoramiento legal y cualquier acuerdo tras una filtración de datos.
• Daño a la reputación de la marca: Si una organización es conocida por su mala seguridad, los clientes acudirán a la competencia. El daño a la reputación de la marca afecta a la lealtad y la confianza de los clientes.
• Pérdida de ingresos: a medida que los clientes van eligiendo a la competencia debido al daño a la marca, la organización pierde ingresos, incluidos los costes de los litigios.

La mayoría de las prácticas recomendadas de PCI-DSS siguen los requisitos, pero las organizaciones pueden establecer políticas adicionales para mejorar la seguridad. Algunas prácticas adicionales que las organizaciones deberían considerar:

• Mantener el software actualizado: Los desarrolladores lanzan actualizaciones que corrigen fallos de seguridad en su software, así que mantenga siempre las aplicaciones actualizadas para evitar dejar vulnerable a la infraestructura.
• Tokenizar los datos de las tarjetas de crédito: La tokenización es similar al cifrado. Sustituye los datos confidenciales por datos no confidenciales, al tiempo que conserva algunos elementos de los datos originales para continuar con las operaciones comerciales.
• Dar a cada usuario y recurso un ID único: Los administradores dan a los usuarios nombres de identificación únicos, pero cualquier componente que acceda a los datos también debe tener un ID único para rastrear las solicitudes.
• Proteger las contraseñas: Indique a todos los usuarios que almacenen sus contraseñas de forma segura. Se recomiendan las bóvedas o almacenes de contraseñas para evitar malas prácticas de almacenamiento.
• Software de pruebas de penetración y configuraciones de red: Un hacker de “sombrero blanco” utilizará métodos comunes en los círculos de hackers para probar su software en busca de vulnerabilidades, de modo que la organización pueda identificar los problemas actuales y solucionarlos.

Proofpoint cuenta con diversos servicios y productos que ayudan a las organizaciones a cumplir con la normativa PCI-DSS. Con estas herramientas, usted podrá cumplir fácilmente con las normas de protección de información y datos en una amplia gama de sectores, como PCI, HIPAA y GDPR. También puede proteger sus complejos documentos críticos para el negocio, como propiedad intelectual, documentos legales y acuerdos de fusiones y adquisiciones. Nuestras herramientas y recursos de protección de la información aplican soluciones de seguridad a los datos de los consumidores para protegerlos de amenazas.

La gestión del cumplimiento es importante para la continuidad del negocio, pero el cumplimiento no siempre significa que su organización esté completamente segura. Por lo general, las organizaciones deben cumplir varias normativas, y Proofpoint puede ayudarle a encontrar el punto óptimo entre el cumplimiento y la seguridad.