Llegamos a ustedes gracias a:



Reportajes y análisis

Qué es PCI DSS: Requisitos, multas y pasos para el cumplimiento

[02/06/2022] PCI DSS es un estándar de ciberseguridad respaldado por las principales empresas de procesamiento de pagos y tarjetas de crédito que tiene como objetivo mantener seguros los números de las tarjetas de crédito y débito. PCI DSS (por sus siglas en inglés) significa estándar de seguridad de datos de la industria de tarjetas de pago.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Las empresas pueden demostrar que han implementado el estándar al cumplir con los requisitos de los informes establecidos por el estándar; aquellas organizaciones que no cumplan con los requisitos, o que se determine que violan la norma, pueden ser multadas.

¿Para qué se utiliza PCI DSS?

PCI DSS, que es administrado por el Payment Card Industry Security Standards Council, establece controles de ciberseguridad y prácticas comerciales que debe implementar cualquier empresa que acepte pagos con tarjeta de crédito.

Los números de tarjetas de crédito y débito son probablemente las secuencias de dígitos más valiosas que existen: cualquiera que tenga acceso a ellos puede realizar compras fraudulentas de inmediato y sacar dinero de las cuentas de los usuarios. Debido a que los bancos y otros emisores de tarjetas de crédito generalmente reembolsan a sus clientes en estas situaciones, tienen un interés personal en garantizar que los números de tarjetas de crédito permanezcan seguros cuando se transmiten a través del ecosistema económico.

El PCI Security Standards Council fue creado por estos actores de la industria para garantizar que las transacciones que involucran números de tarjetas de crédito sean lo más seguras posible. El Consejo establece varios estándares de seguridad que las organizaciones en diferentes segmentos de la industria deben implementar: por ejemplo, PCI PTS cubre a los fabricantes de dispositivos basados en PIN, y PCI PA-DSS rige a los desarrolladores de software que escriben el código que administra los datos del titular de la tarjeta.

¿A quién se aplica PCI DSS?

PCI DSS, el más amplio de los estándares del Consejo, se aplica a "cualquier entidad que almacene, procese y/o transmita los datos de los titulares de las tarjetas, lo que significa que cualquier organización que acepte pagos con tarjeta de crédito -es decir, prácticamente cualquier organización que vende cualquier cosa o acepta donaciones- debe adherirse al estándar.

El cumplimiento de PCI DSS representa una línea de base de seguridad y ciertamente no es una garantía contra los ataques de los hackers. Como veremos, el cumplimiento puede ser bastante complejo, y es difícil decir con certeza que todos los aspectos de la seguridad de una organización se cumplen el 100% del tiempo. Algunos han argumentado que las empresas de pagos y tarjetas de crédito que conforman el PCI Security Standards Council utilizan PCI DSS para trasladar las responsabilidades de seguridad y la carga financiera de las infracciones a los minoristas.

¿Cuándo se volvió obligatorio el PCI DSS?

El cumplimiento de PCI DSS se volvió obligatorio con el lanzamiento de la versión 1.0 del estándar el 15 de diciembre del 2004. Pero debemos hacer una pausa aquí para hablar sobre lo que queremos decir con "obligatorio en este contexto. PCI DSS es un estándar de seguridad, no una ley. Su cumplimiento está obligado por los contratos que los comerciantes firman con las marcas de tarjetas (Visa, MasterCard, etcétera) y con los bancos que realmente manejan su procesamiento de pagos.

Y, como veremos, para la mayoría de las empresas el cumplimiento de la norma se logra completando cuestionarios reportados por la misma empresa. Para esos comerciantes, el cumplimiento de PCI DSS se convierte principalmente en "obligatorio en retrospectiva: si se produce una infracción que se puede atribuir a una falla en la implementación correcta del estándar, el comerciante puede ser sancionado por sus procesadores de pago y las marcas de tarjetas. Es posible que se requiera que los comerciantes se sometan (y paguen) a una evaluación para asegurarse de que han mejorado su seguridad, que analizaremos con más detalle más adelante en este artículo; también se les puede exigir que paguen multas. Las empresas muy grandes pueden verse obligadas a someterse a evaluaciones realizadas por terceros, incluso si no han sufrido una infracción.

[8 preguntas sobre PCI DSS que todo CISO debería poder responder]

Las multas PCI DSS

Cuando los comerciantes firman un contrato con un procesador de pagos, acceden a estar sujetos a multas si no cumplen con PCI DSS. Las multas pueden variar de un procesador de pagos a otro, y son mayores para las empresas con un mayor volumen de pagos. Puede ser difícil precisar el monto usual de una multa, pero IS Partners proporciona algunos rangos en una entrada de blog. Por ejemplo, las multas se imponen por mes de incumplimiento y el cargo mensual aumenta por períodos más largos, por lo que una empresa puede pagar cinco mil dólares mensuales si no cumple durante tres meses, pero 50 mil dólares mensuales si no cumple con los requisitos durante siete meses. Además, se pueden imponer multas que van desde 50 a 90 dólares por cada cliente que se vea afectado, de una forma u otra, por una filtración de datos.

Nuevamente, tenga en cuenta que estas no son "multas en el mismo sentido que aquellas que, digamos, pagaría por violar alguna regulación gubernamental o ley de tránsito; son sanciones integradas en un contrato entre comerciantes, procesadores de pagos y marcas de tarjetas. Generalmente, las marcas de tarjetas multan a los procesadores de pago, quienes a su vez multan a los comerciantes, y todo el proceso no se basa necesariamente en los mismos estándares de evidencia que uno esperaría en un tribunal penal, aunque las disputas pueden terminar en un tribunal civil.

Un caso del 2012, que involucró a los restauradores de Utah Stephen y Cissy McComb, sacó a la luz parte del turbio mundo de las multas PCI DSS; los McComb afirmaron que habían sido acusados de falta de seguridad sin pruebas, y que su procesador de pagos había desviado indebidamente 10 mil dólares de su cuenta bancaria. En el 2013, el minorista de calzado de Tennessee, Genesco, luchó contra una multa PCI DSS de 13 millones de dólares impuesta a raíz de una importante filtración de datos, y finalmente recuperó nueve millones de dólares en la corte.

Aun así, la mayoría de los comerciantes buscan evitar tener que pagar estas multas asegurándose de cumplir con el estándar PCI DSS. Así que profundicemos en los detalles de lo que eso implica.

Requisitos PCI DSS

El estándar PCI DSS establece 12 requisitos fundamentales para los comerciantes. Aquí enumeramos los requisitos para la versión 4.0, aunque en gran medida son paralelos a los requisitos de la 3.2. (Discutiremos esta transición con más detalle en un momento).

  1. Instale y mantenga controles de seguridad de la red para evitar el acceso no autorizado a los sistemas.
  2. Aplique una configuración segura a todos los componentes del sistema. Puede parecer obvio decir esto, pero es especialmente importante no utilizar los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
  3. Proteja los datos de la cuenta almacenados; y...
  4. Utilice criptografía sólida cuando transmita datos de titulares de tarjetas a través de redes públicas abiertas. Estos dos requisitos garantizan la protección de los datos tanto en reposo como en movimiento.
  5. Proteja los sistemas y redes de software malicioso. El malware es una herramienta que utilizan los hackers para obtener acceso a los datos almacenados, por lo que se requiere una vigilancia constante.
  6. Desarrolle y mantenga sistemas y aplicaciones seguros. No solo debe implementar medidas de seguridad, sino también asegurarse de que estén actualizadas.
  7. Restrinja el acceso a los datos del titular de la tarjeta según la necesidad de lo que el negocio requiera saber. Esta es una base fundamental de la seguridad de los datos en general, pero es especialmente importante cuando se trata de datos financieros.
  8. Identifique usuarios y autentique el acceso a los componentes del sistema. Esto no solo protegerá contra el acceso no autorizado a los datos, sino que permitirá a los investigadores determinar si una persona interna autorizada hizo un mal uso de los datos. Es particularmente importante que cada usuario autorizado tenga su propia identificación de acceso, en lugar de una única identificación compartida para todos los empleados que acceden a una cuenta.
  9. Restrinja el acceso físico a los datos del titular de la tarjeta. No todo el robo de datos es el resultado de hackers usando alta tecnología. Asegúrese de que nadie pueda simplemente irse con su disco duro o una caja de recibos.
  10. Registre y monitoree todos los accesos a los recursos de la red y los datos del titular de la tarjeta. Este es uno de los requisitos que se violan con más frecuencia, pero es crucial.
  11. Pruebe periódicamente los sistemas y procesos de seguridad, y...
  12. Mantenga una política que aborde la seguridad de la información. Estos dos últimos requisitos aseguran que los pasos que tome para cumplir con los 10 anteriores sean efectivos y se conviertan en parte de la cultura institucional de su organización.

[4 pasos para analizar adecuadamente una evaluación de PCI]

¿Qué significa ser compatible con PCI DSS?

El cumplimiento de PCI DSS proviene del cumplimiento de las obligaciones establecidas por estos requisitos de la manera que mejor se adapte a su organización, y el PCI Security Standards Council le brinda las herramientas para hacerlo. El blog de seguridad de RSI desglosa los pasos con cierto detalle, pero el proceso en esencia es así:

  1. Determine el nivel PCI DSS de su organización. Las organizaciones se dividen en niveles (más información en un momento) según la cantidad de transacciones con tarjeta de crédito que manejan anualmente.
  2. Complete un cuestionario de autoevaluación. Estos están disponibles en la página web del PCI Security Standards Council, y hay varios cuestionarios adaptados a cómo las diferentes empresas interactúan con los datos de las tarjetas de crédito. Si solo acepta pagos con tarjeta en línea a través de un tercero, completaría el Cuestionario A, por ejemplo; si usa una terminal de pago independiente conectada a Internet, optaría por el Cuestionario B-IP. Cada cuestionario determina qué tan bien se adhiere su organización a los requisitos de PCI DSS, personalizándose según las formas en que interactúa con los datos de la tarjeta de crédito del cliente.
  3. Cree una red segura. Las respuestas que proporcione en su cuestionario revelarán cualquier punto débil en la infraestructura de su tarjeta de crédito y los requisitos que no cumple, y lo guiarán para tapar esos agujeros.
  4. Dar fe formal de su cumplimiento. Una certificación de cumplimiento (AOC, por sus siglas en inglés) es el formulario que utiliza para indicar que ha logrado el cumplimiento de PCI DSS. Terminar su cuestionario sin respuestas "incorrectas significa que está listo para comenzar.

Como debe quedar claro, los cuestionarios proporcionan una especie de lista de verificación de cumplimiento de PCI DSS. Sin embargo, no deje que este sea el final de su viaje de seguridad. Como le expresó David Ames, director de la práctica de ciberseguridad y privacidad de PricewaterhouseCoopers, a Maria Korolov de CSO Online, "hemos visto que concentrarse estrictamente en los esfuerzos de cumplimiento independientes puede producir una falsa sensación de seguridad y una asignación inapropiada de recursos. Utilice PCI DSS como un marco de referencia de controles que se complementa con prácticas de gestión de riesgos.

Niveles PCI DSS

Como se señaló, el estándar PCI DSS reconoce que no todas las organizaciones tienen los mismos factores de riesgo, o la misma capacidad para implementar la infraestructura de seguridad. Los requisitos específicos para cumplir con el estándar que su organización deberá cumplir dependerán del nivel de su empresa, que a su vez está determinado por la cantidad de transacciones de tarjetas de crédito que procese anualmente:

  • Nivel 1: Comerciantes que procesan más de seis millones de transacciones con tarjeta anualmente.
  • Nivel 2: Comerciantes que procesan de uno a seis millones de transacciones anualmente.
  • Nivel 3: Comerciantes que procesan de 20 mil a un millón de transacciones anualmente.
  • Nivel 4: Comerciantes que procesan menos de 20 mil transacciones anualmente.

¿Qué hay de nuevo en PCI DSS 4.0?

Por supuesto, el estándar PCS DSS ha tenido que evolucionar con los tiempos, ya que tanto la tecnología de seguridad como las técnicas de los hackers han evolucionado. Como John Bambenek, uno de los principales cazadores de amenazas de la empresa de operaciones de seguridad digital y TI, Netenrich, lo expresa: "uno de los problemas con la elaboración de regulaciones o pseudoregulaciones, como PCI-DSS, es que la tecnología cambia y lo que alguna vez fue un control de seguridad significativo puede dejar de serlo.

Aun así, PCI DSS 3.2 había sido la versión más actualizada del estándar desde el 2016. Pero PCI DSS 4.0 estuvo en proceso durante un tiempo, se desarrolló con comentarios de la industria y se finalizó en abril del 2022. Los cambios incluyen:

  • La terminología en torno a los firewalls se ha actualizado para hacer referencia, de manera más general, a los controles de seguridad de la red con el fin de soportar una gama más amplia de tecnologías destinadas a cumplir la función tradicional de los firewalls. "Los firewalls eran importantes hace 20 años, afirma Bambenek. "No puede deshacerse de ellos, pero lo que realmente quiere son controles de seguridad de la red que, en cada sesión, puedan hacer un análisis y una política significativos. Es por esto por lo que fue necesario cambiar las regulaciones.
  • El requisito ocho ahora va más allá de solo requerir una identificación única para cada persona con acceso a la computadora -un requisito que, generalmente, se cumple mediante la asignación de un nombre de usuario y una contraseña, y ahora exige la autenticación de factor múltiple (MFA, por sus siglas en inglés) para todos los accesos al ambiente de datos del titular de la tarjeta.
  • Las organizaciones ahora tienen una mayor flexibilidad para demostrar cómo están utilizando diferentes métodos para lograr los objetivos de seguridad descritos en el estándar.
  • Las organizaciones ahora también pueden realizar análisis de riesgos específicos, lo que les permite definir con mayor flexibilidad la frecuencia con la que realizan ciertas actividades. Esto les permite adaptar mejor su postura de seguridad a sus necesidades comerciales y exposición al riesgo.

Si todavía usa PCI DSS 3.2, no tema: la versión anterior del estándar no se retirará hasta marzo del 2024, lo que le deja mucho tiempo para la transición.

¿Quién es responsable del cumplimiento de PCI?

Partiendo de su estructura y tamaño, puede que cada organización tenga una opinión algo diferente sobre quién debe liderar su equipo de cumplimiento de PCI. Las empresas muy pequeñas, que han recurrido al outsourcing para la mayoría de sus infraestructuras de pago, generalmente pueden confiar en que esos proveedores también manejen el cumplimiento de PCI. En el otro extremo del espectro, las organizaciones muy grandes pueden necesitar involucrar a ejecutivos, departamentos legales y de TI, así como a gerentes de las unidades de negocio. El PCI Standards Security Council tiene un documento detallado, "PCI DSS para grandes organizaciones, con consejos sobre este tema; puede consultar la sección 4, que comienza en la página 8.

Certificación PCI DSS frente a evaluación PCI DSS

En el mundo de PCI DSS, no existe una "certificación como tal. Como hemos discutido, el medio más común de demostrar el cumplimiento con PCI DSS, es completar el cuestionario apropiado y completar una atestación de cumplimiento (AOC). Este proceso se conoce como autoevaluación.

Los comerciantes también pueden optar por pagarle a un proveedor externo para que realice una evaluación de PCI DSS. El PCI Security Standards Council certifica a los asesores de seguridad calificados que pueden realizar estas auditorías, y producir lo que se conoce como un informe de cumplimiento (ROC, por sus siglas en inglés); a veces puede ver este proceso denominado como certificación PCI DSS. Si embargo, estrictamente hablando, dicho término no es correcto. Mientras que algunas organizaciones pagan los ROC voluntariamente, a otras se les puede exigir que adquieran uno, si han sufrido una filtración o alguna otra violación de seguridad. Y las grandes empresas que califican como PCI DSS nivel 1 deben obtener un ROC de forma regular.

Las evaluaciones no son baratas: pueden costar hasta 50 mil dólares para una empresa grande. Pero incluso si no está obligado a obtener una evaluación, puede valer la pena a largo plazo. Como Paul Cotter, arquitecto de seguridad senior de West Monroe Partners, le comentó a CSO Online, en las autoevaluaciones, las empresas tienden a verse a sí mismas "de la manera más halagadora posible. Es posible que gaste 50 mil dólares para contratar a un profesional, pero podría terminar ahorrando a largo plazo, porque tendrá una evaluación honesta de su situación de seguridad. Y, en el fondo, ese es el tipo de evaluación que debe ofrecer el estándar PCI DSS.