¿Cuándo se volvió obligatorio PCI DSS?
El cumplimiento de PCI DSS se volvió obligatorio con el lanzamiento de la versión 1.0 del estándar el 15 de diciembre de 2004. Pero deberíamos hacer una pausa aquí para hablar sobre lo que entendemos por “obligatorio” en este contexto. PCI DSS es un estándar de seguridad, no una ley. Su cumplimiento está exigido por los contratos que los comerciantes firman con las marcas de tarjetas (Visa, MasterCard, etc.) y con los bancos que efectivamente se encargan de procesar sus pagos.
Y, como veremos, para la mayoría de las empresas el cumplimiento del estándar se logra completando cuestionarios autoinformados. Para esos comerciantes, el cumplimiento de PCI DSS se vuelve principalmente “obligatorio” en retrospectiva: si se produce una infracción que puede atribuirse a una falla en la implementación correcta del estándar, el comerciante puede ser sancionado por sus procesadores de pagos y las marcas de las tarjetas. Es posible que se solicite a los comerciantes que se sometan a (y paguen) una evaluación para garantizar que hayan mejorado su seguridad, lo cual analizaremos con más detalle más adelante en este artículo; También se les puede exigir el pago de multas. Es posible que se exija a empresas muy grandes que se sometan a evaluaciones realizadas por terceros incluso si no han sufrido una infracción.
Multas PCI DSS
Las multas PCI DSS pueden variar de un procesador de pagos a otro y son mayores para las empresas con un mayor volumen de pagos. Puede ser difícil determinar el monto típico de una multa, pero IS Partners proporciona algunos rangos en una publicación de blog. Por ejemplo, las multas se imponen por mes de incumplimiento y el cargo mensual aumenta durante períodos más largos, por lo que una empresa podría pagar 5.000 dólares al mes si no cumple durante tres meses, pero 50.000 dólares al mes si no cumple con los requisitos durante tres meses. dura hasta siete meses. Además, se pueden imponer multas que oscilan entre 50 y 90 dólares por cada cliente que se vea afectado de alguna manera por una violación de datos.
Nuevamente, tenga en cuenta que estas no son “multas” en el mismo sentido que, digamos, pagaría por violar alguna regulación gubernamental o ley de tránsito; son sanciones integradas en un contrato entre comerciantes, procesadores de pagos y marcas de tarjetas. Generalmente las marcas de tarjetas multan a los procesadores de pagos, quienes a su vez multan a los comerciantes, y todo el proceso no se basa necesariamente en los mismos estándares de evidencia que uno esperaría en un tribunal penal, aunque las disputas pueden terminar en un tribunal civil.
Un caso de 2012 que involucra a los restauranteros de Utah Stephen y Cissy McComb sacó a la luz algo del turbio mundo de las multas PCI DSS; Los McComb afirmaron que habían sido acusados de falta de seguridad sin pruebas y que su procesador de pagos había desviado indebidamente 10.000 dólares de su cuenta bancaria. En 2013, el minorista de calzado de Tennessee, Genesco, se defendió de una multa PCI DSS de 13 millones de dólares impuesta a raíz de una importante violación de datos, que finalmente recuperar 9 millones de dólares en los tribunales.
Aún así, la mayoría de los comerciantes buscan evitar tener que pagar estas multas asegurándose de que cumplen con el estándar PCI DSS. Así que profundicemos en los detalles de lo que eso implica.
Requisitos PCI DSS
El estándar PCI DSS establece 12 requisitos fundamentales para los comerciantes. Estamos enumerando los requisitos para versión 4.0 aquí, aunque son en gran medida paralelos a los requisitos de 3.2. (Discutiremos esta transición con más detalle en un momento).
- Instalar y mantener controles de seguridad de red. para impedir el acceso no autorizado a los sistemas.
- Aplicar configuración segura a todos los componentes del sistema.. Puede parecer obvio decir esto, pero es particularmente importante no utilizar valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
- Proteger los datos almacenados de la cuenta; y…
- Usa fuerte criptografía al transmitir datos de titulares de tarjetas a través de redes públicas abiertas. Estos dos requisitos garantizan la protección de los datos tanto en reposo como en movimiento.
- Proteger sistemas y redes de software malicioso. El malware es una herramienta que utilizan los piratas informáticos para obtener acceso a los datos almacenados, por lo que se requiere una vigilancia constante.
- Desarrollar y mantener sistemas y aplicaciones seguros. No sólo es necesario implementar medidas de seguridad, sino también asegurarse de que estén actualizadas.
- Restrinja el acceso a los datos de los titulares de tarjetas según las necesidades comerciales. Esta es una base fundamental de la seguridad de los datos en general, pero es especialmente importante cuando se trata de datos financieros.
- Identificar usuarios y autenticar el acceso a los componentes del sistema. Esto no solo protegerá contra el acceso no autorizado a los datos, sino que también permitirá a los investigadores determinar si una persona autorizada hizo un uso indebido de los datos. Es particularmente importante que cada usuario autorizado tenga su propia identificación de acceso, en lugar de una única identificación compartida para todos los empleados que acceden a una cuenta.
- Restringir el acceso físico a los datos del titular de la tarjeta. No todo el robo de datos es el resultado de piratería informática de alta tecnología. Asegúrese de que nadie pueda simplemente irse con su disco duro o una caja de recibos.
- Registre y supervise todos los accesos a los recursos de la red y a los datos de los titulares de tarjetas. Este es uno de los requisitos más comúnmente violados, pero es crucial.
- Probar periódicamente los sistemas y procesos de seguridad, y…
- Mantener una política que aborde la seguridad de la información. Estos dos últimos requisitos garantizan que los pasos que usted dé para cumplir con los diez anteriores sean efectivos y formen parte de la cultura institucional de su organización.
¿Qué significa ser compatible con PCI DSS?
El cumplimiento de PCI DSS proviene del cumplimiento de las obligaciones establecidas por estos requisitos de la manera que mejor se adapte a su organización, y el PCI Security Standards Council le brinda las herramientas para hacerlo. El blog de seguridad de RSI desglosa los pasos con cierto detallepero el proceso en esencia es el siguiente:
- Determine el nivel PCI DSS de su organización. Las organizaciones se dividen en niveles (más sobre esto en un momento) según la cantidad de transacciones con tarjetas de crédito que manejan anualmente.
- Completar un cuestionario de autoevaluación. Estos son disponible en el sitio web del PCI Security Standards Council, y existen varios cuestionarios adaptados a cómo las diferentes empresas interactúan con los datos de las tarjetas de crédito. Si solo acepta pagos con tarjeta en línea a través de un tercero, deberá completar el Cuestionario A, por ejemplo; Si utiliza una terminal de pago independiente conectada a Internet, utilizará el Cuestionario B-IP. Cada cuestionario determina qué tan bien su organización cumple con los requisitos de PCI DSS, adaptado según corresponda según las formas en que interactúa con los datos de las tarjetas de crédito de los clientes.
- Construya una red segura. Las respuestas que dé a su cuestionario revelarán cualquier punto débil en la infraestructura de su tarjeta de crédito y los requisitos que no cumple, y lo guiarán para tapar esos agujeros.
- Dar fe formal de su cumplimiento. Una AOC (certificación de cumplimiento) es el formulario que utiliza para indicar que ha logrado el cumplimiento de PCI DSS. Terminar su cuestionario sin respuestas «incorrectas» significa que está listo para comenzar.
Como debe quedar claro, los cuestionarios proporcionan una especie de Lista de verificación de cumplimiento de PCI DSS. Sin embargo, no permita que este sea el final de su viaje de seguridad. Como David Ames, director de la práctica de ciberseguridad y privacidad de PricewaterhouseCoopers, dijo OSC en línea’con María Korolov, “hemos visto que concentrarse estrictamente en esfuerzos de cumplimiento independientes puede producir una falsa sensación de seguridad y una asignación inapropiada de recursos. Utilice el PCI DSS como marco de controles de referencia que se complemente con prácticas de gestión de riesgos”.
Niveles PCI DSS
Como se señaló, el estándar PCI DSS reconoce que no todas las organizaciones tienen los mismos factores de riesgo o la misma capacidad para implementar una infraestructura de seguridad. Los requisitos específicos para cumplir con el estándar que su organización deberá cumplir dependerán del nivel de su empresa, que a su vez está determinado por la cantidad de transacciones con tarjeta de crédito que procese anualmente:
- Nivel 1: Comerciantes que procesan más de 6 millones de transacciones con tarjeta al año.
- Nivel 2: Comerciantes que procesan de 1 a 6 millones de transacciones anualmente.
- Nivel 3: Comerciantes que procesan entre 20.000 y 1 millón de transacciones al año.
- Nivel 4: Comerciantes que procesan menos de 20.000 transacciones al año.
¿Qué hay de nuevo en PCI DSS 4.0?
Por supuesto, el estándar PCS DSS ha tenido que evolucionar con los tiempos, ya que tanto la tecnología de seguridad como las técnicas de los piratas informáticos han evolucionado. Como dice John Bambenek, principal cazador de amenazas en la empresa de operaciones de seguridad digital y TI Netenrich, “Uno de los problemas con la elaboración de regulaciones o pseudoregulaciones, como PCI-DSS, es que la tecnología cambia y lo que alguna vez fue un control de seguridad significativo dejó de serlo”.
Aun así, PCI DSS 3.2, que se retiró en marzo de 2024, había sido la versión más actualizada del estándar desde 2016. Pero PCI DSS 4.0 estuvo en proceso por un tiempo, se desarrolló con comentarios de la industria y se finalizó en abril de 2022. Los cambios incluyen:
- La terminología relacionada con los firewalls se ha actualizado para referirse a los controles de seguridad de la red de manera más general, para admitir una gama más amplia de tecnologías utilizadas para cumplir la función tradicional de los firewalls. “Los cortafuegos eran importantes hace 20 años”, afirma Bambenek. «No puedes deshacerte de ellos, pero lo que realmente quieres son controles de seguridad de red que puedan realizar análisis y políticas significativas por sesión, por lo que era necesario cambiar las regulaciones».
- El requisito 8 ahora va más allá de exigir una identificación única para cada persona con acceso a la computadora (un requisito que generalmente se cumple asignando un nombre de usuario y una contraseña) y ahora exige autenticación multifactor (MFA) para todos los accesos al entorno de datos del titular de la tarjeta
- Las organizaciones ahora tienen una mayor flexibilidad para demostrar cómo utilizan diferentes métodos para lograr los objetivos de seguridad descritos en el estándar.
- Las organizaciones ahora también pueden realizar análisis de riesgos específicos, lo que les hace más flexible definir con qué frecuencia realizan ciertas actividades. Esto les permite adaptar mejor su postura de seguridad a sus necesidades comerciales y exposición a riesgos.
¿Quién es responsable del cumplimiento de PCI?
Cada organización tendrá una opinión algo diferente sobre quién debe liderar su equipo de cumplimiento de PCI, según su estructura y tamaño. Las empresas muy pequeñas que han subcontratado la mayor parte de sus infraestructuras de pago a terceros generalmente pueden confiar en esos proveedores para que también se encarguen del cumplimiento de PCI. En el otro extremo del espectro, las organizaciones muy grandes pueden necesitar involucrar a ejecutivos, gerentes de TI, legales y de unidades de negocios. El Consejo de Seguridad de Estándares PCI tiene un documento detallado, «PCI DSS para grandes organizaciones”, con consejos sobre este tema; consulte la sección 4, que comienza en la página 8.
Certificación PCI DSS versus evaluación PCI DSS
En el mundo de PCI DSS no existe la «certificación». Como hemos comentado, la forma más común de demostrar el cumplimiento del PCI DSS es completar el cuestionario correspondiente y completar una certificación de cumplimiento (AOC). Este proceso se conoce como autoevaluación.
Los comerciantes también pueden optar por pagarle a un proveedor externo para realizar una evaluación PCI DSS. El Consejo de Normas de Seguridad de PCI certifica asesores de seguridad calificados ¿Quién puede realizar estas auditorías y producir lo que se conoce como un informe de cumplimiento (República de China); Es posible que a veces veas este proceso denominado certificación PCI DSS, aunque eso no es correcto en sentido estricto. Si bien algunas organizaciones pagan voluntariamente por los ROC, es posible que otras deban adquirir uno si han sufrido una infracción o alguna otra violación de seguridad. Y las grandes empresas que califican como PCI DSS nivel 1 deben obtener un ROC de forma regular.
Las evaluaciones no son baratas: pueden costar hasta 50.000 dólares para una gran empresa. Pero aunque no esté obligado a adquirir uno, puede resultar rentable a largo plazo. Como Paul Cotter, arquitecto senior de seguridad de West Monroe Partners, dijo OSC en línea, En las autoevaluaciones las empresas tienden a verse a sí mismas “de la manera más halagadora posible”. Podrías gastar $50,000 para contratar a un profesional, pero podría terminar ahorrándote a largo plazo” porque obtendrás una evaluación honesta de tu situación de seguridad. Y en esencia, ese es el tipo de evaluación que el estándar PCI DSS debería ofrecer.
Más sobre PCI DSS: