.png)
La certificación PCI DSS (Payment Card Industry Data Security Standard) es la normativa internacional de seguridad para organizaciones que manejan tarjetas de crédito y débito de las principales compañías de tarjetas. Este estándar se creó para controlar y reducir el fraude con tarjetas de crédito y para proteger la información confidencial de los titulares.
El cumplimiento de PCI DSS se centra en tres aspectos clave:
La normativa PCI protege a empresas, consumidores y el sistema de pagos en general de varios riesgos relacionados con la seguridad de la información y las transacciones financieras.
Entre las claves de protección que ofrece la norma se encuentran la protección contra el fraude a través de tarjetas de crédito, la seguridad de los datos del titular de la tarjeta, la prevención de brechas de datos, el cumplimiento de las normas de seguridad y mucho más.
La aplicabilidad de la norma PCI se determina principalmente por si una organización almacena, procesa o transmite datos de titulares de tarjetas de crédito o débito. Es decir, cualquier empresa o entidad que maneje datos asociados con tarjetas de las principales marcas de tarjetas de crédito (como Visa, MasterCard, American Express, Discover y JCB) debe cumplir con PCI DSS. Estos datos pueden ser el número de cuenta principal (PAN), los datos del titular y los datos usados para autenticarse.
Los 12 requisitos de cumplimiento de la norma PCI establecidos son tanto operativos como técnicos; sin embargo, el objetivo principal de estos requisitos es siempre proteger los datos de los titulares de tarjetas. Estos son los 12 criterios establecidos por el PCI SSC para PCI DSS 4.0
Los controles de seguridad de red, como los cortafuegos, son "puntos de aplicación de políticas de red que controlan el tráfico de red entre dos o más segmentos de red lógicos o físicos (o subredes) basándose en políticas o reglas predefinidas". Históricamente, esto se ha hecho utilizando cortafuegos físicos. Ahora, sin embargo, los controles de acceso a la nube, los dispositivos virtuales, los sistemas de virtualización/contenedores y otras tecnologías de redes definidas por software pueden actuar como controles de seguridad de la red.
A menudo, los malos actores dentro y fuera de una organización utilizan contraseñas predeterminadas y otras configuraciones predeterminadas del proveedor para obtener acceso no autorizado a los sistemas de la empresa. Al aplicar configuraciones seguras a los componentes del sistema, una empresa reduce las formas en que un atacante puede comprometer sus sistemas. Además, una empresa puede ayudar a reducir la superficie potencial de ataque eliminando el software, las cuentas y las funciones innecesarias, cambiando las contraseñas predeterminadas y eliminando o desactivando cualquier servicio que no necesiten.
Las organizaciones no deberían almacenar datos de cuentas de pago a menos que sean esenciales para el negocio. Las empresas tampoco deben almacenar datos sensibles de autenticación después de que las transacciones hayan sido autorizadas. Si las organizaciones almacenan los números de cuenta principales (PAN) de los clientes, deben asegurarse de que esos números no puedan leerse. Las empresas que almacenan datos de autenticación sensibles antes de que se haya completado la autorización también deben proteger esos datos.
Las empresas deben cifrar los PAN cuando se transmiten a través de redes a las que pueden acceder fácilmente personas malintencionadas. Estas redes incluyen redes abiertas, públicas y no fiables. Los actores de amenazas siguen teniendo como objetivo las redes inalámbricas que no están configuradas correctamente. También se centran en los fallos de los protocolos de autenticación y el cifrado heredado para obtener acceso privilegiado a todos los sistemas que almacenan, manejan o transmiten datos de titulares de tarjetas. Para asegurar las transmisiones de PAN, las empresas pueden cifrar la sesión a través de la cual se transmiten los datos, cifrar los datos antes de transmitirlos, o ambas cosas.
El software malicioso -o malware- es software que se instala en un ordenador sin el conocimiento o consentimiento de una organización para comprometer los sistemas, datos y/o aplicaciones de esa empresa. El malware incluye troyanos, gusanos, virus, ransomware, spyware, código malicioso, rootkits, keyloggers y scripts. Los autores de malware introducen sus programas maliciosos en una red a través de diversos métodos, como las herramientas de colaboración y los ataques de phishing.
Los atacantes pueden aprovechar las vulnerabilidades de seguridad de las aplicaciones y los sistemas para acceder a los datos de pago. Sin embargo, las organizaciones pueden eliminar muchos de estos fallos instalando parches de seguridad proporcionados por los proveedores. Estos parches reparan rápidamente piezas específicas del código de programación. Para evitar que los ciberdelincuentes exploten las vulnerabilidades, las organizaciones deben asegurarse de que han instalado los parches más actualizados en sus sistemas y aplicaciones críticos.
Las empresas también deben parchear los sistemas que no son tan críticos en un periodo de tiempo adecuado, que se basa en la realización de un análisis formal de riesgos. "Las aplicaciones deben desarrollarse de acuerdo con prácticas seguras de desarrollo y codificación, y los cambios en los sistemas del entorno de datos de los titulares de tarjetas deben seguir procedimientos de control de cambios", según el Consejo de Normas de Seguridad de la PCI.
Los actores de las amenazas pueden acceder a los sistemas y a los datos críticos porque las normas y definiciones de control de las organizaciones no son eficaces. Para asegurarse de que sólo las personas autorizadas pueden acceder a los datos críticos, las empresas deben implantar sistemas y procesos que garanticen que los usuarios tienen razones legítimas para acceder a la información sensible. Y sólo deben darles acceso a la información que necesitan para hacer su trabajo, independientemente de sus niveles de autorización de seguridad u otras aprobaciones.
Las empresas deben asignar un identificador único a cada persona que tenga acceso a datos y sistemas sensibles, de modo que puedan estar seguras de que sólo las personas conocidas y autorizadas trabajan con los datos. Esto también permite a las empresas rastrear las acciones realizadas sobre esos datos hasta usuarios específicos. "Estos requisitos se aplican a todas las cuentas, incluidas las de los puntos de venta, las que tienen capacidades administrativas y todas las que se utilizan para ver o acceder a los datos de las cuentas de pago o a los sistemas con esos datos", según el PCI SSC. Sin embargo, estos requisitos no se aplican a las cuentas utilizadas por los titulares de tarjetas..
Las empresas deben restringir el acceso físico a los datos de los titulares de tarjetas o a los sistemas que almacenan, procesan o transmiten esos datos. Esto impide que personas no autorizadas accedan físicamente a los sistemas o retiren documentos en papel que contengan esta información.
Es fundamental que las empresas implanten mecanismos de registro para poder realizar un seguimiento de las actividades de los usuarios con el fin de detectar anomalías y actividades sospechosas, así como para realizar análisis forenses eficaces. El registro permite a las organizaciones realizar un seguimiento exhaustivo de la actividad de los usuarios y detectar si algo va mal. Sin registros de actividad del sistema, es prácticamente imposible identificar la causa de un compromiso.
Los investigadores y los ciberdelincuentes descubren continuamente nuevos fallos en el software. Además, se introducen vulnerabilidades cuando se lanza nuevo software. En consecuencia, las empresas deben probar con frecuencia los componentes del sistema, los procesos y el software personalizado para asegurarse de que se aplican los controles de seguridad adecuados.
Las empresas deben asegurarse de que todos sus empleados comprenden la sensibilidad de los datos de las cuentas de pago y lo que tienen que hacer para protegerlos. La aplicación de una política de seguridad sólida marca la pauta de la seguridad en toda la empresa y permite que los empleados sepan cuáles son sus responsabilidades en materia de seguridad.
Checkout cumple con el nivel 1 de PCI DSS (que es el estándar más alto establecido por la industria de las tarjetas de pago). Aunque el cumplimiento de la norma PCI puede parecer abrumador al principio, existen muchos recursos en los que apoyarse para obtener ayuda.
Por ejemplo, los Evaluadores de Seguridad Cualificados (QSA) son organizaciones de seguridad independientes y personas que han sido cualificadas por el Consejo de Normas de Seguridad de la PCI. Los QSA pueden validar la adhesión de una entidad a la DSS de la PCI y pueden ayudar a los comerciantes a lo largo del proceso.
Para ofrecer asistencia en el cumplimiento de la PCI a nuestros comerciantes, Checkout.com se ha asociado con SecurityMetrics, una empresa QSA.
Para obtener más información sobre cómo Checkout.com puede ayudarle a implementar el cumplimiento de la PCI, consulte nuestra documentación.
.svg){kind=icon}
