Llegamos a ustedes gracias a:



Noticias

PCI Security Council busca comentarios de la industria sobre los actuales estándares

[26/06/2009] El grupo que administra el Payment Card Industry Data Security Standard (PCI DSS) quiere feedback sobre la forma en que está funcionando la actual versión del estándar, lanzada el pasado octubre.

Los retailers, instituciones financieras y otros de la industria del pago podrán enviar sus comentarios en línea entre el 1 de julio y el 1 de noviembre sobre la forma de mejorar el estándar PCI DSS 1.2, señaló el PCI Security Standards Council (SSC) esta semana. En los siguientes meses, el PCI SSC sostendrá dos reuniones comunales -una en Estados Unidos, la otra en Europa- en donde los stakeholders también podrán intervenir.
Esos comentarios serán revisados para ver qué se necesitan para la siguiente versión del estándar, que va a llegar a su fin en el otoño [septentrional] del 2010, señaló Robert Russo, gerente general de PCI SSC. Además, el PCI SSC ha comisionado a PricewaterhouseCoopers (PwC) que revise las tecnologías tales como el encriptamiento end-to-end, chip y PIN y los tokens, para determinar si estas tecnologías deban ser parte de los requerimientos del PCI en el futuro, indicó Russo.
Los estándares PCI fueron creados por Visa, MasterCard y otras grandes marcas de tarjetas de crédito y son administrados por el PCI SSC. Todas las compañías que aceptan tarjetas de pago deben implementar los controles de seguridad -que constan de 12 niveles- prescritos en los estándares. Las grandes compañías enfrentan requerimientos más duros que las pequeñas empresas.
La solicitud de comentarios y la revisión de nuevas tecnologías por parte de PwC vienen en medio de una creciente ola de críticas a PCI de muchas partes. A inicios de este mes, por ejemplo, los representantes de siete grupos comerciales solicitaron que los estándares sean desarrollados de forma más abierta. La carta, firmada por los representantes de la National Retail Federation, el Merchant Advisory Group, la National Restaurant Association y otros, sugería que el PCI SSC adoptara un proceso de elaboración de estándares similar al usado por los cuerpos de estándares abiertos como ANSI. Los grupos también recomendaron que los retailers deban tener el suficiente tiempo para implementar revisiones y solicitaron una reducción en la cantidad de requerimientos prescritos en la PCI.
La carta se unía a un creciente coro de voces que expresaba su preocupación acerca de la naturaleza pesada y costosa de los requerimientos de la PCI y su efectividad. En una audiencia en la Cámara de Representantes en abril, los legisladores estadounidenses y los representantes del retail criticaron las reglas de la PCI por ser demasiado estáticas, y se preguntaron si habían sido diseñadas para proteger a las compañías de tarjetas y a los bancos de sus responsabilidades más que para otras cosas.
Russo señaló hoy que el proceso de feedback y la revisión de PwC son esfuerzos de parte del PCI SSC para hacer que el proceso de creación de los estándares sea inclusivo, transparente y relevante. Señaló que desde su inicio, el consejo de la PCI ha confiado profundamente en el input de sus miembros y de otros de la industria de pagos para formar los estándares.
Afirmó que la prohibición que realizó la PCI a los retailers de usar redes inalámbricas basadas en el protocolo Wired Equivalent Privacy (WEP) es un ejemplo en donde se aprecia que el consejo actuó en base al feedback de la comunidad. El PCI SSC también ha eliminado o consolidado los requerimientos redundantes o menores basados en el feedback de la industria.
Los cambios en la 1.2 fueron el resultado del feedback de la comunidad en general y de lo que pensaron que debería abordar el estándar, señaló Russo. Esta es una oportunidad para que todos se unan… y discutan lo que se necesita cambiar para el bien de la comunidad o para el beneficio de una [industria] vertical en particular, afirmó.
Russo desestimó las recientes críticas acerca de la efectividad de los estándares e insistió que cuando fueran implementados en forma apropiada, protegerían adecuadamente a las compañías contra las amenazas actuales. En este punto, no hemos visto nada en el estándar que nos cause preocupación, sostuvo Russo. Añadió que la revisión por parte de PwC fue impulsada por un aparente interés en el encriptamiento end-to-end y otras tecnologías emergentes.
Lo que van a hacer es buscar estas tecnologías y ver que se necesita [incluir] para que ellas sean consideradas en el estándar, afirmó. El esfuerzo también incluye ver si las tecnologías pueden ser usadas como controles de compensación para los requerimientos actuales de la PCI, señaló.
Jaikumar Vijayan, Computerworld (US)