Llegamos a ustedes gracias a:



Reportajes y análisis

PCI DSS: Requisitos, multas y pasos para el cumplimiento

[07/08/2020] PCI DSS es un estándar de ciberseguridad respaldado por todas las principales compañías de tarjetas de crédito y procesamiento de pagos, que tiene como objetivo mantener seguros los números de las tarjetas de crédito y débito. PCI DSS (por sus siglas en inglés) significa Estándar de seguridad de datos de la industria de tarjetas de pago. El estándar, administrado por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago, establece controles de ciberseguridad y prácticas de negocio que cualquier empresa que acepte pagos con tarjeta de crédito debe implementar. Las empresas pueden demostrar que han implementado el estándar al cumplir con los requisitos de informes establecidos por el estándar; las organizaciones que no cumplan con los requisitos, o que se encuentran en violación de la norma, pueden ser sancionadas.

¿Para qué se utiliza PCI DSS?

Los números de tarjeta de crédito y débito son probablemente las secuencias de dígitos más valiosas: cualquier persona con acceso a ellas puede realizar inmediatamente compras fraudulentas y drenar dinero de las cuentas de los usuarios. Debido a que los bancos y otros emisores de tarjetas de crédito generalmente reembolsarán a sus clientes en estas situaciones, tienen un interés personal en garantizar que los números de las tarjetas de crédito permanezcan seguros mientras se transmiten a través del ecosistema económico.

El PCI Security Standards Council fue creado por estos actores de la industria para garantizar que las transacciones que involucran números de tarjetas de crédito sean lo más seguras posible. El Consejo establece varios estándares de seguridad que las organizaciones, en diferentes segmentos de la industria, deben implementar: por ejemplo, PCI PTS cubre a los fabricantes de dispositivos basados en PIN, y PCI PA-DSS gobierna a los desarrolladores de software que escriben código que administra los datos del titular de la tarjeta.

¿A quién se aplica PCI DSS?

PCI DSS es el más amplio de los estándares del Consejo. Se aplica a "cualquier entidad que almacene, procese y/o transmita datos de titulares de tarjetas, lo que significa que cualquier organización que acepte pagos con tarjeta de crédito -es decir, prácticamente cualquier organización que venda algo o acepte donaciones- debe adherirse al estándar.

El cumplimiento de PCI DSS representa una línea de base de seguridad, y ciertamente no es una garantía contra los hackers. Como veremos, el cumplimiento puede ser bastante complejo, y es difícil decir con certeza que cada aspecto de la seguridad de una organización se cumple el 100% del tiempo. Algunos han argumentado que las compañías de tarjetas de crédito y de pago que conforman el PCI Security Standards Council usan PCI DSS para transferir las responsabilidades de seguridad y la carga financiera de las infracciones a los minoristas.

¿Cuándo se hizo obligatorio el PCI DSS?

El cumplimiento de PCI DSS se hizo obligatorio con el lanzamiento de la versión 1.0 del estándar el 15 de diciembre del 2004. (PCI DSS 3.2 es la versión actual del estándar, y la 4.0 está en proceso). Pero deberíamos hacer una pausa aquí para hablar sobre lo que queremos decir con "obligatorio en este contexto. PCI DSS es un estándar de seguridad, no una ley. El cumplimiento de ésta está obligado por los contratos que los comerciantes firman con las marcas de tarjetas (Visa, MasterCard, etc.) y con los bancos que realmente manejan su procesamiento de pagos.

Y, como veremos, para la mayoría de las empresas el cumplimiento del estándar se logra al completar cuestionarios autoinformados. Para esos comerciantes, el cumplimiento de PCI DSS se vuelve principalmente "obligatorio en retrospectiva: si ocurre una violación que se remonta a una falla en implementar el estándar correctamente, el comerciante puede ser sancionado por sus procesadores de pago y las marcas de la tarjeta. Es posible que se requiera que los comerciantes se sometan (y paguen) una evaluación para garantizar que hayan mejorado su seguridad, lo cual discutiremos con más detalle más adelante en este artículo; también pueden ser obligados a pagar multas. Se puede exigir a las empresas muy grandes que se sometan a evaluaciones realizadas por terceros, incluso si no han sufrido una violación.

Multas PCI DSS

Cuando los comerciantes firman un contrato con un procesador de pagos, acuerdan estar sujetos a multas si no cumplen con el cumplimiento de PCI DSS. Las multas pueden variar de un procesador de pagos a otro, y son más grandes para las empresas con un mayor volumen de pagos. Puede ser difícil precisar una cantidad típica de multa, pero IS Partners proporciona algunos rangos en una entrada de blog. Por ejemplo, las multas se evalúan por mes de incumplimiento y el cargo por mes aumenta durante períodos más largos, por lo que una empresa podría pagar cinco mil dólares mensuales si no cumple con la normativa durante tres meses, pero cincuenta mil dólares al mes si se llega a los siete meses. Además, se pueden imponer multas que oscilan entre 50 y 90 dólares por cada cliente que se ve afectado de alguna manera por una irrupción en los datos.

Nuevamente, tenga en cuenta que estas no son "multas en el mismo sentido que, por ejemplo, pagaría por violar alguna regulación gubernamental o ley de tránsito; son sanciones integradas en un contrato entre comerciantes, procesadores de pagos y marcas de tarjetas. En general, las marcas de tarjetas multan a los procesadores de pagos, que a su vez multan a los comerciantes, y todo el proceso no se basa necesariamente en los mismos estándares de evidencia que uno esperaría en un tribunal penal, aunque las disputas pueden terminar en un tribunal civil.

Un caso del 2012, que involucró a los restauradores de Utah Stephen y Cissy McComb, puso en el centro de atención las turbias multas de PCI DSS; los McCombs afirmaron que habían sido acusados de seguridad laxa, pero sin evidencia y que su procesador de pagos había desviado indebidamente 10 mil dólares de su cuenta bancaria. En el 2013, el minorista de calzado de Tennessee, Genesco, impugnó una multa de PCI DSS de 13 millones de dólares impuesta a raíz de un importante robo de datos, y finalmente recuperó nueve millones de dólares en la corte.

Aún así, la mayoría de los comerciantes buscan evitar tener que pagar estas multas asegurándose de cumplir con el estándar PCI DSS. Así que profundicemos en los detalles de lo que eso implica.

Requerimientos de PCI DSS

El estándar PCI DSS establece 12 requerimientos fundamentales para los comerciantes:

  1. Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta.
  2. No utilizar los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
  3. Proteger los datos almacenados del titular de la tarjeta.
  4. Cifrar la transmisión de datos del titular de la tarjeta a través de redes públicas abiertas.
  5. Utilizar y actualizar regularmente el software antivirus.
  6. Desarrollar y mantener sistemas y aplicaciones seguros.
  7. Restringir el acceso a los datos del titular de la tarjeta según la necesidad comercial de la empresa.
  8. Asignar una identificación única a cada persona con acceso a la computadora.
  9. Restringir el acceso físico a los datos del titular de la tarjeta.
  10. Rastrear y monitorear todo el acceso a los recursos de la red y los datos del titular de la tarjeta.
  11. Probar regularmente los sistemas y procesos de seguridad.
  12. Mantener una política que aborde la seguridad de la información.

¿Qué significa cumplir con PCI DSS?

El cumplimiento de DSS proviene del cumplimiento de las obligaciones establecidas por estos requerimientos de la manera más adecuada para su organización, y PCI Security Standards Council le brinda las herramientas para hacerlo. El blog de seguridad RSI desglosa los pasos en detalle, pero el proceso en esencia es así:

  1. Determine el nivel de PCI DSS de su organización. Las organizaciones se dividen en niveles según la cantidad de transacciones de tarjetas de crédito que manejan anualmente. Por ejemplo, las organizaciones PCI DSS nivel 1 procesan más de seis millones de transacciones al año, mientras que las organizaciones PCI DSS nivel 4 procesan menos de 20 mil.
  2. Complete un cuestionario de autoevaluación. Estos están disponibles en la página web del PCI Security Standards Council, y existen varios cuestionarios adaptados a la forma en que las diferentes empresas interactúan con los datos de las tarjetas de crédito. Por ejemplo, si solo acepta pagos con tarjeta en línea a través de un tercero, completaría el Cuestionario A; si usa un terminal de pago independiente conectado a Internet, iría con el Cuestionario B-IP. Cada cuestionario determina qué tan bien se adhiere su organización a los requisitos de PCI DSS, adaptados según corresponda por las formas en que interactúa con los datos de la tarjeta de crédito del cliente.
  3. Construya una red segura. Las respuestas que proporcione en su cuestionario revelarán cualquier punto débil en la infraestructura de su tarjeta de crédito y los requisitos que no cumpla, y lo guiarán en el cierre de esos agujeros.
  4. Certifique formalmente su cumplimiento. Un AOC (certificación de cumplimiento) es el formulario que utiliza para indicar que ha logrado el cumplimiento de PCI DSS. Terminar su cuestionario sin respuestas "incorrectas significa que está listo para comenzar.

Como debe quedar claro, los cuestionarios proporcionan una especie de lista de verificación de cumplimiento de PCI DSS. Sin embargo, no permita que este sea el final de su viaje de seguridad. Como David Ames, director de la práctica de ciberseguridad y privacidad en PricewaterhouseCoopers, le expresó a María Korolov de CSO Online, "hemos visto que concentrarse estrictamente en los esfuerzos de cumplimiento independientes puede producir una falsa sensación de seguridad y una asignación inapropiada de recursos. Use el PCI DSS como un marco de control de referencia que se complementa con prácticas de gestión de riesgos.

¿Quién es responsable del cumplimiento de PCI?

Cada organización tendrá una opinión algo diferente sobre quién debe dirigir su equipo de cumplimiento de PCI, según su estructura y tamaño. Las empresas muy pequeñas, que han externalizado la mayoría de sus infraestructuras de pago a terceros, generalmente pueden confiar en que esos proveedores también se encargarán del cumplimiento de PCI. En el otro extremo del espectro, las organizaciones muy grandes pueden necesitar involucrar a ejecutivos, gerentes de TI, abogados y administradores de unidades de negocios. El PCI Standards Security Council tiene un documento en profundidad, "PCI DSS para grandes organizaciones, con consejos sobre este tema -consulte la sección 4, que comienza en la página 8.

Certificación PCI DSS vs evaluación PCI DSS

¿Cómo puede obtener la certificación PCI DSS? La respuesta descarada y sucinta es que no se puede. En el mundo de PCI DSS no existe tal cosa como una "certificación. Como hemos discutido, el medio más común para demostrar el cumplimiento de PCI DSS es completando el cuestionario apropiado y completando un certificado de cumplimiento (AOC). Este proceso se conoce como autoevaluación.

Sin embargo, los comerciantes también pueden optar por pagar a un proveedor externo para que realice una evaluación PCI DSS. El PCI Security Standards Council certifica a los Evaluadores de seguridad calificados que pueden realizar estas auditorías y producir lo que se conoce como un informe de cumplimiento (ROC, por sus siglas en inglés); a veces puede ver este proceso denominado certificación PCI DSS, aunque eso, estrictamente hablando, no es correcto. Si bien algunas organizaciones pagan los ROC voluntariamente, a otras se les puede exigir que adquieran uno si han sufrido una violación u otra infracción de seguridad; y las grandes empresas que califican como PCI DSS nivel 1 deben obtener un ROC de forma regular.

Las evaluaciones no son baratas: pueden costar hasta 50 mil dólares para una gran empresa. Pero incluso si no está obligado a tener una evaluación, a la larga puede dar sus frutos. Como le comentó Paul Cotter, arquitecto de seguridad sénior de West Monroe Partners, a CSO Online, en las autoevaluaciones, las empresas tienden a verse a sí mismas "de la manera más halagadora posible. Puede que gaste 50 mil dólares para contratar a un profesional, pero podría terminar ahorrando dinero a la larga, porque obtendrá una evaluación honesta de su situación de seguridad. Y en el fondo, ese es el tipo de evaluación que el estándar PCI DSS debería ofrecer.