Prepárese para PCI DSS 4.0

Sep 26, 2023
Share

American Express emitió el primera tarjeta de crédito de plástico en 1959. Y si bien los bancos individuales habían establecido sus propios estándares de seguridad a lo largo del camino, no fue hasta diciembre de 2004, casi 55 años después del debut de la tarjeta de cartón Diner's Club en 1950, que surgió un estándar a nivel de la industria: el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS).

Antecedentes para PCI DSS

PCI DSS no es exactamente lo mismo que una regulación gubernamental, como por ejemplo: GLBA—porque las infracciones no constituyen delitos penales. El Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI DSS) es una organización comercial internacional que administra el estándar, certifica a los evaluadores y lleva a cabo otras actividades regulatorias. PCI DSS es una certificación voluntaria respaldada por la mayor parte del sector bancario y de crédito, cuyo objetivo es proteger las transacciones de pago globales y los datos de las cuentas. La certificación PCI significa que una organización, como un minorista o un procesador/proveedor de tecnología de tarjetas de crédito, ha implementado sistemas y medidas de seguridad para prevenir el robo, la falsificación u otras alteraciones de los pagos digitales.

Tenga en cuenta que el DSS no es el único estándar o requisito que el PCI SSC ha establecido para proteger los pagos y los titulares de tarjetas, dependiendo de si su negocio es un comerciante, un proveedor de servicios, un fabricante o un desarrollador de software. De los quince estándares, algunos reflejos son:

  • Requisitos de seguridad de transacciones con PIN (PTS) Es un conjunto de requisitos de seguridad centrados en las características y la gestión de los dispositivos utilizados para la protección de los PIN de los titulares de tarjetas y otras actividades relacionadas con el procesamiento de pagos.
  • Estándar de seguridad de datos para aplicaciones de pago (PA-DSS) Está dirigido a proveedores de software y otros desarrolladores de aplicaciones de pago que almacenan, procesan o transmiten datos del titular de la tarjeta y/o datos de autenticación confidenciales como parte de la autorización o la liquidación.
  • Estándar de cifrado punto a punto PCI (P2PE) Proporciona un conjunto completo de requisitos de seguridad para que los proveedores de soluciones P2PE validen sus soluciones y puede ayudar a reducir el alcance de la norma PCI DSS para los comercios que utilizan dichas soluciones.

Otros dos son específicos de la producción de tarjetas y la tokenización:

  • Requisitos de seguridad lógica y física para la producción de tarjetas PCI
  • Requisitos de seguridad del proveedor de servicios de tokens PCI (TSP)

¿Cuáles son los requisitos de la política PCI DSS?

DSS v1.0 establecía doce requisitos de seguridad y procesos estructurados en seis objetivos de control y cuatro niveles de informes basados ​​en la carga de transacciones. Para brindar aclaraciones y responder a las tecnologías y amenazas en constante evolución, en la versión 4.0 estos se han actualizado sustancialmente a:

  1. Instalar y mantener controles de seguridad de red
  2. Aplique configuraciones seguras a todos los componentes del sistema.
  3. Proteja los datos de la cuenta almacenados.
  4. Proteja los datos del titular de la tarjeta con criptografía robusta durante la transmisión a través de redes públicas abiertas.
  5. Proteja todos los sistemas y redes del software malicioso.
  6. Desarrollar y mantener sistemas y software seguros.
  7. Restringir el acceso a los componentes del sistema y a los datos de los titulares de tarjetas según la necesidad de conocerlos por parte de la empresa.
  8. Identificar usuarios y autenticar el acceso a los componentes del sistema.
  9. Restringir el acceso físico a los datos del titular de la tarjeta.
  10. Registrar y supervisar todo acceso a los componentes del sistema y a los datos del titular de la tarjeta.
  11. Pruebe periódicamente la seguridad de los sistemas y las redes.
  12. Apoyar la seguridad de la información con políticas y programas organizacionales.

Para ayudar a las empresas a comprender y abordar estos requisitos, se agrupan según principios rectores (objetivos) que se ajustan a las mejores prácticas generalmente aceptadas para proteger cualquier entorno de red (no solo los sistemas de pago):

  • Construir y mantener una red y sistemas seguros (requisitos 1 y 2)
  • Proteger los datos de la cuenta (requisitos 3 y 4)
  • Mantener un programa de gestión de vulnerabilidades (requisitos 5 y 6)
  • Implementar medidas de control de acceso rigurosas (requisitos 7, 8 y 9).
  • Supervisar y probar las redes periódicamente (requisitos 10 y 11).
  • Mantener una política de seguridad de la información (requisito 12)

Los comerciantes que procesan transacciones deben cumplir un nivel de evaluación basado en el volumen de negocios anual, y el banco “adquirente” (por ejemplo, Visa) puede colocarlo en una categoría superior a su discreción. Cada nivel (Ver aquí a través de Mastercard) define cuán exhaustivas deben ser las evaluaciones de los comerciantes y las prácticas de presentación de informes, lo que también afecta las inversiones necesarias para cumplir con los estándares:

  • Nivel de comerciante 1: >6 millones de transacciones
  • Nivel de comerciante 2: 1M – 6M transacciones
  • Nivel de comerciante 3: 20.000 – 1 millón de transacciones
  • Nivel de comerciante 4: <20.000 transacciones

Los proveedores de servicios también están sujetos a evaluaciones y deben certificarse en el Nivel 1, definido como >300.000 transacciones, o en el Nivel 2, definido como <300.000 transacciones.

¿Cuáles son las consecuencias del incumplimiento?

PCI DSS es como ISO y otras normas de seguridad de la información, ya que confiere responsabilidad por fallos (y multas a las compañías de crédito miembros, que también pueden imponerse a los comerciantes, llegando hasta los 100.000 dólares mensuales), pero no es un marco legal en sí mismo, aunque eso no significa que las infracciones no vayan a dar lugar a demandas.

Equifax sufrió una violación de datos. En 2017, un ataque informático comprometió los datos de más de 145 millones de estadounidenses. Entre los datos robados se encontraban números de tarjetas de crédito. Los afectados presentaron demandas contra la empresa, lo que derivó en acuerdos extrajudiciales que le han costado a Equifax más de 425 millones de dólares hasta la fecha.

Después Adobe perdió los números de tarjeta de crédito Tras haber obtenido la información de inicio de sesión de más de 38 millones de usuarios de Adobe en 2013, la empresa se enfrentó a demandas de 15 estados diferentes y llegó a un acuerdo por 1 millón de dólares, además de otras cantidades no reveladas.

¿Qué novedades incluye PCI DSS v4.0?

PCI DSS v4.0 se publicó públicamente en marzo de 2022, pero no entrará en pleno vigor hasta marzo de 2025. En 2024, la versión 3.2.1 quedará obsoleta y las organizaciones deberán comenzar a implementar los requisitos de la versión 4.0. El documento de cambios se encuentra en aquí Proporciona detalles, pero las actualizaciones incluyen desde aclaraciones menores de texto hasta nuevas directrices sobre el cifrado de números de cuenta. Además, se aplica mayor rigor al establecimiento de roles y responsabilidades en una organización, la protección contra malware, las políticas de respuesta cibernética, el alcance y mucho más. Dado que la última versión verdaderamente completa fue la v3.2 en 2016, la v4.0 requiere su atención inmediata.

¿Qué datos están regulados por la norma PCI DSS?

Con el avance de la tecnología en el sector de los servicios financieros, también lo ha hecho la cantidad y los tipos de datos procesados. Por ello, la versión 4.0 se ha ampliado para incluir no solo datos de cuentas y otra información personal, sino también datos de autenticación confidenciales (SAD), acceso administrativo, registros/revisiones, gestión de certificados, etc. Si bien otras organizaciones de seguridad de la información, como Cloud Security Alliance con su Cloud Control Matrix, ya habían abordado estas deficiencias, su codificación en PCI DSS reforzará el rigor en los esfuerzos de cumplimiento de los comercios, especialmente dado que PCI DSS no depende de otras certificaciones.

Ciertos datos nunca deben almacenarse después de la finalización de una transacción (incluso si están ofuscados) y representan un riesgo extremo cuando se producen. Los SAD incluyen “el código de seguridad de 3 o 4 dígitos impreso en el anverso o reverso de una tarjeta, los datos almacenados en la banda magnética o el chip de una tarjeta (también llamados “datos de seguimiento completo”) y los números de identificación personal (PIN) introducidos por el titular de la tarjeta” (véase la página 11 del documento). Guía de referencia rápida de PCI DSS).

Cómo Cyera ayuda al cumplimiento de PCI DSS

Cumplir con cualquier estándar requiere un conocimiento exhaustivo de los datos que se almacenan y procesan. PCI DSS facilita la identificación de cierta información, ya que las transacciones solo se pueden procesar si los datos tienen un formato específico (por ejemplo, un número de tarjeta de 16 dígitos). En consecuencia, y quizás indicando su propio riesgo inherente, es probable que los datos de las cuentas de pago se almacenen en aplicaciones y bases de datos distribuidas por toda la organización, tanto en puntos finales internos como externos. Estos riesgos se pueden mitigar mediante la detección, clasificación e identificación de posibles escenarios de explotación de datos en sistemas distribuidos y la implementación de medidas correctivas.

Para comerciantes, proveedores de servicios, fabricantes o desarrolladores de software, Cyera puede ayudarle a reforzar el cumplimiento de la normativa PCI sobre datos mediante:

  • Descubrir, clasificar e inventariar los datos de autenticación y de los titulares de tarjetas que puedan haberse perdido, olvidado o gestionado incorrectamente.
  • Auditar si los datos PCI han sido ofuscados y mediante qué métodos. Por ejemplo, si un número de tarjeta de crédito está cifrado, tokenizado, hash o expuesto como texto plano.
  • Evalúa la resiliencia de seguridad de tus almacenes de datos que contienen información PCI. Cyera te alertará sobre copias de seguridad faltantes, registros insuficientes o configuraciones erróneas conocidas que pueden exponer los datos.
  • Detecta accesos excesivamente permisivos a datos PCI. Con Cyera, puedes ver quién tiene acceso a los almacenes de datos, incluidos los usuarios individuales.
  • Señalización de infracciones específicas de PCI. Por ejemplo, cuando se almacena un SAD en un almacén de datos, en violación del requisito 3.2 de PCI DSS que prohíbe el almacenamiento de este tipo de datos.
  • Detección de indicadores de compromiso. Por ejemplo, cuando los datos PCI se transfieren de un entorno seguro y aprobado a un entorno menos seguro y no aprobado, Cyera puede alertarle sobre dichas actividades.

Cumplir con confianza

La economía mundial y las empresas que la sustentan están tan interconectadas que una brecha de seguridad, incluso en la franquicia más pequeña, puede provocar una fuga masiva de datos que afecte a millones de personas. PCI DSS está diseñado para ayudar a proteger el procesamiento de transacciones y facilitar el comercio electrónico global. Sin embargo, participar en sistemas y procesos de pago implica tomar las medidas necesarias para proteger no solo sus datos, sino también los de sus clientes y socios.

Cyera Cyera adopta un enfoque de seguridad centrado en los datos, evaluando la exposición de sus datos tanto en reposo como en uso y aplicando múltiples capas de defensa. Gracias a que Cyera aplica un contexto de datos profundo e integral a todo su entorno de datos, somos la única solución que permite a los equipos de seguridad saber dónde se encuentran sus datos, qué los expone a riesgos y tomar medidas inmediatas para remediar las vulnerabilidades y garantizar el cumplimiento normativo sin interrumpir las operaciones comerciales.

Para obtener más información sobre cómo Cyera puede ayudarle a abordar el cumplimiento de PCI, Programa una demostración hoy.

Share