Si su empresa se ocupa de los pagos con tarjeta de crédito de cualquier manera, entonces el cumplimiento de PCI va a ser un hecho de la vida, y una parte esencial de la gestión de su negocio de forma segura y eficiente. El cumplimiento de PCI es un paso de importancia crítica en la protección de los datos de las tarjetas de pago de sus clientes o socios, y un paso igualmente importante en la protección de su negocio de las graves consecuencias de una violación de datos.
Desafortunadamente, hay mucha información errónea en torno al PCI DSS y lo que significa exactamente cumplir con la normativa. La semana pasada, nos propusimos desacreditar algunos de los mitos más comunes en torno al PCI DSS, pero si usted no es una persona técnica, es posible que aún tenga algunas preguntas.
En este artículo, explicaremos qué es PCI DSS, cómo afecta la regulación a las empresas de diferentes tamaños, las doce reglas de PCI DSS y por qué debe esforzarse por mantener el cumplimiento.
¿Qué es PCI DSS?
El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), comúnmente conocido como PCI, es un conjunto de estándares de seguridad establecidos por el Consejo de Estándares de Seguridad de PCI (PCI SSC) con el fin de garantizar que todas las empresas que recopilan, transmiten, almacenan o procesan datos de tarjetas de pago mantengan un entorno seguro. El PCI SSC fue fundado en 2004 por las principales marcas de tarjetas de crédito (Visa, MasterCard, American Express, Discover y JCB) e introdujo el PCI DSS 1.0 en diciembre de ese año.
Desde entonces, se han realizado ocho actualizaciones del estándar, hasta llegar a la versión actual PCI DSS 3.2.1.
Los requisitos de cumplimiento dependen del tamaño de su empresa
Para determinar los requisitos que se aplican a las empresas individuales, el PCI SSC creó un sistema de cuatro niveles para clasificar a las empresas por tamaño y riesgo. Estos niveles de riesgo de los comerciantes se basan en el número total de operaciones con tarjetas de pago que una empresa realiza anualmente, siendo el Nivel 4 el nivel de riesgo más bajo y el Nivel 1 el más alto.
En su mayor parte, las pequeñas empresas se ubican en el Nivel 4, mientras que el Nivel 1 cubre a los grandes minoristas multinacionales como Amazon y Walmart. Sin embargo, es probable que cualquier organización que haya tenido una violación de datos también se traslade al Nivel 1, independientemente del tamaño o el número de transacciones anuales.
Así es como se dividen los cuatro niveles:
Nivel 1: Comerciantes con más de 6.000.000 de transacciones al año o aquellos que han visto comprometidos sus datos en el pasado.
Nivel 2: Comerciantes con 150.000 a 6.000.000 de transacciones al año.
Nivel 3: Comerciantes con 20.000 a 150.000 transacciones al año.
Nivel 4: Comerciantes con menos de 20.000 transacciones al año.
También vale la pena señalar que el PCI SSC considera que las transacciones de comercio electrónico son más arriesgadas que las transacciones en persona y, por lo tanto, se necesitan menos transacciones de comercio electrónico para pasar a un nivel de cumplimiento de PCI más alto.
Las Doce Reglas Básicas para el Cumplimiento del PCI DSS
Así que ahora que sabemos lo que es PCI DSS y a quién se aplica, echemos un vistazo a las reglas establecidas por el estándar de seguridad.
El Estándar de Seguridad de Datos PCI especifica seis metas conocidas como "objetivos de control". Los seis objetivos del PCI DSS son:
- Construir y mantener una red segura
- Proteger los datos del titular de la tarjeta
- Mantener un programa de gestión de vulnerabilidades
- Implementar fuertes medidas de control de acceso
- Supervisar y probar regularmente las redes
- Mantener una política de seguridad de la información
Para cumplir con estos objetivos y estar en conformidad con el PCI DSS, las organizaciones deben cumplir con doce reglas. Echemos un vistazo a esas reglas y a lo que se necesita para cumplirlas.
- Instale y mantenga una configuración de firewall para proteger los datos del titular de la tarjeta. Esto significa que no puede almacenar los datos del titular de la tarjeta en una red sin protección. De la misma manera, el mero hecho de tener un cortafuegos no te sacará del apuro. Debe tomar las medidas necesarias para configurar correctamente su cortafuegos y asegurarse de que siga estando configurado correctamente.
- No utilice los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad. Esperamos que esto sea evidente, pero a veces hay que decir lo obvio: No utilice, bajo ninguna circunstancia, contraseñas predeterminadas.
- Proteger los datos almacenados del titular de la tarjeta. Esta regla establece que cualquier dato del titular de la tarjeta almacenado en su red debe ser protegido. Esto significa típicamente defensas perimetrales como el firewall mencionado anteriormente, junto con el cifrado de los datos del titular de la tarjeta almacenados en reposo en su red.
- Cifrar la transmisión de los datos de los titulares de tarjetas a través de redes públicas y abiertas. Así como los datos del titular de la tarjeta deben ser encriptados en reposo, también deben ser encriptados en tránsito. Los datos pueden ser extremadamente vulnerables cuando se transmiten a través de redes públicas abiertas, especialmente cuando se envían a través de métodos inseguros como los servidores FTP. Una herramienta segura de transferencia de archivos es la mejor opción para mover los datos de los titulares de tarjetas de forma segura y en cumplimiento de la normativa.
- Proteja todos los sistemas contra el malware y actualice regularmente el software o los programas antivirus. Esta regla estipula que debe instalar y mantener un programa antivirus actualizado regularmente.
- Desarrollar y mantener sistemas y aplicaciones seguras. Esto significa esencialmente que debe parchear sus sistemas y mantenerse al tanto de cualquier crítica.
- Restrinja el acceso a los datos del titular de la tarjeta en función de la necesidad de conocer de la empresa. El acceso a los datos del titular de la tarjeta sólo debe concederse en la medida en que sea necesario para el desempeño de las funciones de un empleado, y debe revocarse cuando ya no sea necesario.
- Identificar y autenticar el acceso a los componentes del sistema. Cualquier usuario con acceso a los datos del titular de la tarjeta debe tener un método de acceso identificable de forma única, y cada instancia de acceso debe ser debidamente verificada, ya sea mediante contraseña o autenticación multifactorial.
- Restringir el acceso físico a los datos del titular de la tarjeta. Este requisito abarca todos los métodos físicos utilizados para restringir el acceso a los datos del titular de la tarjeta. La Guía de Referencia Rápida proporciona una extensa lista de métodos para cumplir con este requisito.
- Rastree y supervise todo el acceso a los recursos de la red y a los datos de los titulares de las tarjetas. Esta es una espada de doble filo. No sólo debe contar con un sistema de monitoreo de red que pueda generar registros y detectar y reportar la falla de un sistema de seguridad, sino que también debe ser capaz de rastrear todos y cada uno de los accesos a los sistemas críticos, y ser capaz de auditar ese acceso.
- Pruebe regularmente los sistemas y procesos de seguridad. Las redes deben ser analizadas regularmente en busca de vulnerabilidades, y dependiendo de su nivel de riesgo de comerciante, el pentesting puede estar en orden.
- Mantener una política que aborde la seguridad de la información para todo el personal. Debe mantener una política de seguridad de la información en toda la empresa.
Si no es una ley, ¿por qué debería usted cumplirla?
Al principio de este artículo, mencionamos los mitos que rodean el cumplimiento de PCI DSS. He aquí un mito peligroso que tiene algo de verdad: PCI DSS no es una ley.
Eso es cierto. PCI DSS no es una ley, pero las consecuencias del incumplimiento pueden ser tan graves como la violación de una regulación federal.
El no cumplir con el PCI DSS podría dejar a su negocio sujeto a multas entre $5,000 y $100,000 por mes y podría llevar a la terminación de su sociedad con las compañías de su tarjeta de crédito.
Jeff Edwards
Jeff Edwards is a tech writer and analyst with three years of experience covering Information Security and IT. Jeff has written on all things cybersecurity, from APTs to zero-days, and previously worked as a reporter covering Boston City Hall.