Los fundamentos del cumplimiento de PCI: lo que necesita saber

La información de la tarjeta de crédito es el tipo de datos más valioso para los ciberdelincuentes, ya que estos conjuntos de datos valen millones de dólares en el mercado negro.

Hoy en día, las empresas de todos los tamaños procesan la información de las tarjetas de crédito y débito de los clientes y reciben pagos con tarjeta de crédito. Todas las empresas que procesan, almacenan y transmiten datos financieros están bajo el radar de los actores malintencionados y se enfrentan a los mayores riesgos de ataques cibernéticos.

Por estas razones, las principales compañías de tarjetas de crédito crearon el estándar PCI para proporcionar pautas de seguridad para que las empresas protejan los datos financieros de los clientes. En este artículo, examinaremos los conceptos básicos del cumplimiento de PCI.

Comencemos explicando más el cumplimiento de PCI DSS.

¿Qué es el cumplimiento de PCI DSS?

El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un conjunto técnico y operativo de especificaciones de seguridad para proteger los datos de los titulares de tarjetas de crédito.

El cumplimiento de PCI fue fundado por las principales compañías de tarjetas de crédito como Visa, Mastercard, American Express, Discover Financial Services y JCB Express. PCI busca habilitar un marco internacional para asegurar los datos financieros de los clientes.

Todas las empresas que recopilan, almacenan y transmiten están sujetas al cumplimiento de PCI DSS y están obligadas a seguir las pautas y los requisitos de seguridad.

PCI DSS tiene cuatro niveles de cumplimiento (1,2,3,4). Los niveles de cumplimiento de PCI de las empresas se determinan en función del volumen de transacciones durante un año. Las empresas que se encuentran en el nivel 4 procesan menos de 20.000 transacciones por año.

El nivel 3 se aplica a los comerciantes que procesan transacciones entre 20 000 y 1 millón por año. El nivel 2 se aplica a las empresas que procesan transacciones entre 1 y 6 millones por año. Las empresas que procesan más de 6 transacciones por año caen en el nivel 1.

Los requisitos de PCI se vuelven más estrictos a medida que el nivel pasa de 4 a 1. Pero, independientemente del nivel de cumplimiento, todas las empresas están obligadas a cumplir con todos los requisitos de PCI hasta cierto punto.

El marco de manejo seguro de datos de titulares de tarjetas se establece en seis categorías según el cumplimiento de PCI. Las categorías de requisitos de PCI consisten en protección de datos del titular de la tarjeta, plan de gestión de vulnerabilidades, monitoreo de red, gestión segura de redes y sistemas, restricciones de control de acceso y política de seguridad de la información.

El contenido de estas categorías construye un total de doce pasos de requisitos. Los requisitos de PCI garantizan la seguridad del manejo de los datos del titular de la tarjeta. Aquí hay una lista de verificación para el cumplimiento de PCI.

Requisitos PCI

1- Instalar y mantener un firewall para la protección de datos de los titulares de tarjetas

Dado que los cortafuegos son el primer mecanismo de defensa de la red, configurar y mantener correctamente un cortafuegos es crucial para mantener seguros los datos del titular de la tarjeta. Los cortafuegos son herramientas muy eficaces para la protección de datos confidenciales contra amenazas cibernéticas porque restringen el tráfico de la red y bloquean el acceso no autorizado. Es por eso que el establecimiento del firewall es el primer requisito.

02. Tener una protección de contraseña adecuada

La mayoría de los servicios de red, los sistemas de punto de venta (POS) y los productos de terceros están configurados con configuraciones predeterminadas.

Los ciberdelincuentes pueden obtener acceso a redes y datos confidenciales fácilmente si las organizaciones no reconfiguran estas configuraciones de fábrica, ya que las contraseñas y los nombres de usuario predeterminados son ampliamente conocidos.

Además de cambiar la configuración de la contraseña, las organizaciones deben cambiar periódicamente las contraseñas de todos los dispositivos y software que lo requieran.

03. Proteger los datos almacenados del titular de la tarjeta

Todos los datos almacenados del titular de la tarjeta deben estar encriptados. Los comerciantes deben garantizar la protección de estos datos confidenciales a través de claves y algoritmos criptográficos y realizar escaneos periódicos.

04. Cifrar los datos transmitidos por los titulares de tarjetas

Mantener la seguridad de los datos del titular de la tarjeta es el requisito más importante en el cumplimiento de PCI. Por lo tanto, los comerciantes también deben cifrar y proteger la transmisión de datos del titular de la tarjeta a través de redes públicas.

05. Utilizar software antivirus

Tener un software antivirus es una necesidad para la protección de datos contra el malware. Por lo tanto, las organizaciones deben utilizar y actualizar con frecuencia su software antivirus en todos los dispositivos para detectar y eliminar cualquier malware.

06. Mantenimiento de software y sistemas

Todo el software y los sistemas deben actualizarse regularmente para parchear las vulnerabilidades de seguridad. Tenga en cuenta que algunos programas, como las bases de datos, el software antivirus y los cortafuegos, requieren actualizaciones más frecuentes.

07. Restringir el acceso a los datos

Solo el personal autorizado debe tener acceso a los datos de los titulares de tarjetas cuando sea necesario. Los terceros y los miembros del personal no deberían tener acceso a información confidencial.

08. Identificación única para acceso de usuarios

Se debe proporcionar un conjunto único de nombres de usuario y contraseñas a cada usuario autorizado que tenga acceso a los datos del titular de la tarjeta. Las credenciales de acceso de los usuarios garantizan la responsabilidad y reducen el tiempo de respuesta.

09. Restringir el acceso físico

El acceso físico también debe restringirse tanto como el acceso digital para salvaguardar los datos confidenciales. Las organizaciones deben almacenar los datos de los titulares de tarjetas en un lugar físicamente seguro y aplicar controles y autorizaciones estrictos.

10- Rastrear y monitorear el acceso a la red

Todo el acceso a la red y el tráfico deben ser rastreados y monitoreados cuando se trata de datos del titular de la tarjeta y números de cuenta principales. Los registros de acceso relacionados con los datos del titular de la tarjeta deben mantenerse y revisarse continuamente.

11- Evaluación periódica de los sistemas de seguridad

Se deben realizar evaluaciones periódicas del sistema de seguridad y pruebas de penetración para determinar y parchear las vulnerabilidades de seguridad. Este procedimiento garantiza determinar el estado actual de los sistemas de seguridad y mejorarlo en consecuencia.

12- Mantener una política de ciberseguridad

Todos los requisitos de PCI deben abordarse y documentarse con una política de ciberseguridad. Al mantener una política de ciberseguridad, las organizaciones pueden garantizar el cumplimiento y la seguridad de sus redes.

Consecuencias de no cumplir con PCI DSS

No cumplir con PCI DSS puede traer altas multas y sanciones. De acuerdo a la severidad y duración de las violaciones, las autoridades de PCI pueden aplicar multas entre $5000 y $100,000 al mes.

Las multas pueden aumentar mensualmente a medida que la duración de la infracción se alarga. Además, después de incidentes de violación de datos, las empresas pueden verse obligadas a cubrir todos los costos de reemisión y remediación.

Aparte de estos, el incumplimiento de PCI puede generar sanciones adicionales, como un aumento en las tarifas de transacción y la pérdida de comerciantes de pago con tarjeta de crédito por un tiempo o de forma permanente. Cumplir con los requisitos de PCI es vital para evitar multas y proteger los datos financieros confidenciales de los clientes.

Ultimas palabras

Los datos financieros de los clientes deben estar protegidos contra ciberataques en todo momento.

Cumplir con el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) puede ayudar a las empresas a proteger los conjuntos de datos financieros que se procesan, almacenan y transmiten.

En una era donde los riesgos cibernéticos, las multas de cumplimiento y las sanciones son tan altas, todas las empresas sujetas a PCI deben cumplir con sus requisitos y cumplir con PCI.