Llegamos a ustedes gracias a:



Reportajes y análisis

4 pasos para analizar adecuadamente una evaluación de PCI

[11/09/2020] Cualquier organización que acepte, procese, almacene o transmita tarjetas de pago debe demostrar que cumple con el Payment Card Industry Data Security Standard (PCI DSS), y para ello, la organización debe someterse a una evaluación PCI anual.

Esta evaluación, o auditoría, tiene como objetivo confirmar que la organización cumple con los requerimientos de control y seguridad del PCI DSS.

Aunque los estándares son prescriptivos, la forma en que encajan en cada organización puede variar, ya que las personas, los procesos y las tecnologías utilizadas para manejar los datos de las tarjetas de pago en cada organización son únicos.

Como resultado, cada organización debe ampliar su evaluación de PCI para asegurarse de que está considerando todas las partes de su infraestructura y estructura interna, que manejan o pueden acceder de alguna manera a los datos de las tarjetas de pago.

"El alcance es comprender todas las partes que deben evaluarse; es analizar a las personas, la tecnología y los procesos que tocan los datos de la tarjeta, afirma Gracie Pereira, directora general de ciberseguridad y privacidad de Accenture, con especialización en la industria de los servicios financieros.

Aunque pueda parecer sencillo, el alcance de una evaluación de PCI puede desafiar incluso a las organizaciones más experimentadas, afirman los expertos. Ellos señalan que no es raro que los ejecutivos no identifiquen áreas dentro de su empresa que se conectan con los datos de las tarjetas de pago de alguna manera y, por lo tanto, pueden excluir inadvertidamente esas áreas de la evaluación y, quizás lo que es más importante, pueden excluirlos de los estándares y controles de seguridad necesarios.

Por ejemplo, algunas organizaciones pueden pensar erróneamente que, si sus centros de llamadas solo toman, pero no almacenan, datos de tarjetas de pago, esos sistemas están fuera del alcance de la evaluación. O es posible que no consideren sus grabaciones de voz de transacciones con tarjetas de pago como sistemas que deben protegerse de acuerdo con el PCI DSS.

"Algunos asumen que, simplemente porque los datos de las tarjetas de pago fluyen a través de ellos, no tienen que ser compatibles con PCI, afirma Andi Baritchi, director de Servicios de Ciberseguridad de KPMG y director principal de PCI, y señala que este tipo de pensamiento erróneo puede causar grandes problemas. "La inadecuada determinación del alcance de PCI ha sido un factor clave para muchas pérdidas de datos.

[PCI DSS: Requisitos, multas y pasos para el cumplimiento]

Para ayudar a evitar tales errores, los expertos ofrecen los siguientes consejos con el fin de determinar el alcance de una evaluación de PCI:

Comience con una autoevaluación para determinar los requerimientos

Cualquier organización con un número de comerciante, emitido por el procesador de pagos de la organización, deberá ser compatible con PCI.

Sin embargo, los requisitos de evaluación varían según el volumen anual de transacciones procesadas por un comerciante -como se conoce a las organizaciones que manejan los datos de la tarjeta de pago en el mundo PCI-.

Por ejemplo, algunas organizaciones necesitan contratar a un Asesor de Seguridad Calificado (QSA, por sus siglas en inglés), es decir, una compañía de seguridad independiente calificada por el PCI Security Standards Council para validar la adherencia de una organización a PCI DSS; mientras que otras pueden usar un programa Asesor de Seguridad Interno (ISA, por sus siglas en inglés).

De manera similar, las organizaciones deberán determinar qué Cuestionario de Autoevaluación de PCI (PCI SAQ) se les podría aplicar en función del volumen y los procesos de su propia tarjeta de pago.

Existen cuatro niveles de cumplimiento de PCI: el nivel 1 se aplica a los comerciantes que procesan más de seis millones de transacciones con tarjeta al año, el nivel 2 es para aquellos que procesan de uno a seis millones al año, el nivel 3 es para aquellos que manejan entre veinte mil y un millón y el nivel 4 es para quienes procesan menos de veinte mil transacciones al año.

Kathy Ahuja, vicepresidenta de cumplimiento global y TI de OneLogin, proveedor de administración de acceso e identidad basado en la nube, tiene experiencia en evaluación de PCI y problemas de cumplimiento, y afirma que los ejecutivos de la empresa deben comenzar su proceso de determinación de alcance de PCI estipulando si califican como comerciantes o proveedor de servicios, o ambos, y luego decretar el nivel apropiado en función del número de transacciones que maneja anualmente.

"Entonces realmente necesita decidir cómo sus políticas y procedimientos se alinean con los estándares PCI; necesita alinear sus controles internos para cumplir con las categorías de controles PCI, afirma.

Sepa adónde van los datos de la tarjeta

Los expertos afirman que aconsejan a los CISO mapear sus procesos para que puedan comprobar cómo se están recopilando los datos de las tarjetas de pago, quién y qué sistemas tienen acceso a ella, cómo se almacena y cómo y dónde se transmite. Los CISO también deben asegurarse de que sus procesos estén debidamente documentados como parte de este paso.

"Uno tiene que entender el flujo de datos, porque una vez que entienda eso, sabrá dónde eliminar el riesgo, afirma Candy Alexander, presidenta internacional de la Information Systems Security Association (ISSA), así como CISO y consultora ejecutiva de NeuEon Inc.

Los expertos afirman que los CISO deberían utilizar esta parte del ejercicio de determinación del alcance para obtener una visibilidad completa de dónde residen los datos de las tarjetas de pago en su organización; eso significa confirmar que está donde debería estar y tratar de descubrir dónde reside, pero no debería residir.

"Comprender dónde están los datos -incluidos los lugares donde no deberían estar- es una parte muy importante del ejercicio de determinación del alcance, afirma Jonathan Care, director de investigación de Gartner, y agrega que las herramientas de descubrimiento de datos son fundamentales para ayudar a encontrar esos datos donde sea que puedan estar.

Care afirma que una vez llevó a cabo una investigación forense para un hotel británico y descubrió una década de datos de tarjetas de pago en la computadora del director financiero; el director explicó que lo descargó por si acaso lo necesitaba.

Care señala que los datos de tarjetas de pago que se esconden en lugares tan imprevistos "pueden ser enemigos del cumplimiento.

[8 preguntas sobre PCI DSS que todo CISO debería poder responder]

Limite los riesgos para reducir el alcance

El PCI Security Standard Council ofrece orientación sobre el alcance y la segmentación de la red, destacando las diferencias entre "dentro del alcance (sistemas directamente involucrados con, conectados o que afecten la seguridad de los datos del titular de la tarjeta) y "conectado a (aquellos sistemas que se conectan al ambiente de datos del titular de la tarjeta, o CDE), y luego aquellos sistemas que no tienen acceso al CDE y por lo tanto están "fuera del alcance.

Como tal, los expertos afirman que la segmentación de la red (no requerida, pero efectiva cuando se hace correctamente) puede ayudar a las organizaciones a reducir los sistemas que tocan el CDE, limitando así el alcance de la evaluación PCI y, más concretamente, reduciendo el riesgo.

Alexander afirma que los CISO deben seguir el ejemplo de esta guía, ideando formas en las que puedan reducir el riesgo asociado con las transacciones con tarjetas de pago y el alcance de su evaluación PCI. De hecho, siempre que sea posible, aconseja a las organizaciones el outsourcing del procesamiento de tarjetas a proveedores que se especialicen en el trabajo. Ella señala su trabajo con una organización que pudo redirigir todo el proceso de pago a un proveedor, dejando a la empresa libre para enviar sus productos "que era su negocio de todos modos.

Baritchi agrega: "Si es una pequeña empresa, esa es una forma de reducir el área de PCI.

Pero advierte a los CISO que no deben confiar demasiado en la subcontratación del procesamiento de tarjetas de pago y el cumplimiento de PCI relacionado. Dependiendo de cómo fluyan los datos de la tarjeta de pago, y cómo estén estructuradas las transacciones, es muy posible que la organización inicial aún deba cumplir con PCI, por lo que deberá asegurarse de que su proveedor también lo haga. Además, enfatiza que la organización "siempre corre un riesgo de reputación si el proveedor comete una infracción.

Cree un programa PCI durante todo el año

Muchas organizaciones generan una larga lista de remediaciones y mejoras a implementar durante su evaluación anual de PCI. En lugar de ver ese trabajo como un ejercicio anual vinculado al proceso de certificación, los expertos recomiendan que los CISO, los oficiales de cumplimiento y sus organizaciones desarrollen un programa continuo.

"Hay muchas empresas que ven a PCI como algo que se realiza una vez al año, y esa es a menudo la única vez que miran su posición de PCI. Pero para gestionar con éxito ese riesgo, se debe crear un programa PCI y comprender su alcance durante todo el año, afirma Baritchi.

Agrega: "PCI no se trata de aprobar la auditoría una vez al año; se trata de proteger los datos del cliente durante todo el año. ¿Qué pasa si abre un nuevo desafío de pago dos meses después de la auditoría y el CISO no lo reconoce?

Baritchi afirma que los CISO deben tener tres alcances de PCI diferentes: lo que creen que es el alcance de los procesos, las personas y la tecnología que afecta a los datos de las tarjetas de pago, lo que realmente es una vez que se realiza un mapeo de procesos completo y un ejercicio de descubrimiento de datos, así como un estado futuro donde la seguridad mejora y los riesgos y costos se reducen mediante una gobernanza continua más sólida.

Como tal, los CISO deben asegurarse de que cuentan con políticas y procedimientos para asegurarse de que, una vez realizada la evaluación anual, sus organizaciones no creen o abran vulnerabilidades inadvertidamente.

"Es esa higiene, de seguridad continua, de proteger ese alcance lo que más importa, afirma Baritchi. "La gobernanza de PCI es clave, y esa debe ser una actividad habitual.