3 claves para adaptar tu empresa al nuevo estándar de seguridad de PCI DSS
La transformación digital ha marcado un punto de inflexión en la manera de realizar compras. La tarjeta de crédito se ha convertido en uno de los métodos de pago más importantes con el crecimiento del ecommerce, pero una mala gestión podría poner en peligro la integridad y seguridad de los datos de empresas y usuarios.
En los trámites online existen miles de amenazas. El volumen de transacciones realizadas en 2022 alcanzó los 624.860 millones de dólares, un 7,5% más que 2021, y se prevé que lleguen a generar más de 891 millones en 2027, de acuerdo con diferentes reportes de Nilson, por lo que se requieren los más altos niveles de seguridad para salvaguardar los datos personales y bancarios de los compradores en los sistemas. Para ello, existe el Consejo de Estándares de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS, por sus siglas en inglés), un foro global de seguridad de pagos formado en 2004 que incluye requisitos de administración de seguridad, políticas, arquitectura de red, diseño de software y otras medidas críticas para proteger las transacciones con tarjetas de crédito y débito contra el robo de datos y el fraude. Aunque actualmente está en su versión 3.2.1, en marzo de 2022 presentó su versión 4.0, que deberá ser cumplida por las organizaciones con fecha límite en marzo de 2025.
Durante este período de transición es importante que las empresas se familiaricen con los cambios e implementen las prácticas y recomendaciones de seguridad necesarias para cumplir con la normativa cuando entre en vigor.
Principales cambios de la versión 4.0
La norma PCI DSS establece 64 nuevos requerimientos, de los cuales 11 se aplican a proveedores de servicios, 53 a todas las entidades y 51 se consideran buenas prácticas. Los cambios más significativos son los siguientes:
-
Personalización y flexibilidad en la implementación:
La nueva versión permite una implementación personalizada, lo cual brinda mayor flexibilidad a las empresas para cumplir con los requerimientos. Las empresas pueden diseñar sus propios controles, siempre y cuando justifiquen su efectividad para cumplir con los requisitos específicos. Se ofrece la opción de elegir entre la implementación prescriptiva existente o la nueva implementación personalizada, eliminando la posibilidad de utilizar controles compensatorios.
-
Autenticación multifactor (MFA):
PCI DSS exige que se utilice la autenticación multifactor (MFA) para el acceso de administrador al entorno de datos del titular de la tarjeta (CDE), así como durante el acceso remoto. Habilitar MFA proporciona una sólida capa de control de acceso, que ayuda a proteger las identidades y el acceso a los sistemas que procesan datos confidenciales.
-
Mayor énfasis en el cifrado de datos:
El nuevo estándar requiere el cifrado de los datos de autenticación almacenados debido al aumento de incidentes de filtración de datos y la aparición constante de nuevas vulnerabilidades. En la versión 3.2.1 el cifrado era solo una recomendación.
-
Ampliación de DESV (Designated Entities Supplemental Validation):
En la versión anterior, solo algunas entidades que habían experimentado incidentes de seguridad o cumplían ciertos criterios establecidos por el Consejo debían cumplir requisitos adicionales. En la versión 4.0, algunos de estos requisitos se aplican a todas las entidades, especialmente aquellos relacionados con la revisión periódica de controles críticos.
-
Gestión de amenazas:
Implica la identificación y manejo de posibles riesgos que puedan afectar la seguridad de los datos del titular de una tarjeta. Es importante implementar medidas constantes de monitoreo de amenazas y administración de parches como parte de las mejores prácticas para abordar este riesgo persistente. Las soluciones de seguridad endpoint ofrecen servicios que garantizan la protección de los dispositivos de pago y la información confidencial asociada a ellos.
-
Detección de puntos de acceso fraudulentos:
La nueva norma exige la detección de puntos de acceso fraudulentos en todas las redes en las que se almacenen o estén en tránsito datos de titulares de tarjetas, incluso si esa red no incluye conectividad inalámbrica propiamente dicha. En la versión 3.2.1, la detección de puntos de acceso no autorizados sólo era necesaria cuando se utilizaba la conectividad inalámbrica.
¿Cómo prepararse para el cumplimiento de PCI DSS 4?
Para comenzar con el cumplimiento de PCI DSS 4.0 es necesario seguir una serie de pasos que aseguren la eficiencia en el proceso. En primer lugar, las empresas deben realizar una evaluación exhaustiva para detectar cualquier deficiencia en sus sistemas actuales, comprender y evaluar la infraestructura y los procesos relacionados con el manejo de datos de tarjetas de pago.
En segundo lugar, las compañías deben implementar medidas de seguridad sólidas para mejorar los procesos de pagos. ¿De qué forma?
- Garantizando la seguridad: asegurar la red con cifrado de datos, seguridad de redes y cortafuegos, y filtrado de aplicaciones web.
- Monitorizando las amenazas: implementar soluciones de detección de puntos de acceso inalámbricos no autorizados y de seguridad endpoint que permitan el monitoreo constante de amenazas y lleven a cabo la gestión de parches.
- Protegiendo la experiencia de pago: habilitar MFA para proporcionar una sólida capa de control de acceso, que ayude a proteger las identidades y el acceso a los sistemas que procesan datos confidenciales.
Por último, es necesario que contraten a un auditor certificado o a un asesor de seguridad cualificado para llevar a cabo una revisión de cumplimiento.
La nueva normativa delimita los aspectos generales para la protección de los datos personales y bancarios de los compradores. Sin embargo, cada organización debe adaptar sus controles de seguridad teniendo en cuenta sus circunstancias y necesidades. Nuestro White Paper - Meeting PCI DSS with WatchGuard, ofrece una revisión directa de los requisitos PCI y profundiza en la tecnología que las empresas necesitan implantar para garantizar su cumplimiento.
Si quieres conocer más sobre las distintas regulaciones y sus marcos de ciberseguridad, no dejes de visitar los siguientes enlaces: