alexlukin - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Por qué su empresa necesita el estándar de seguridad de datos de la industria de tarjetas de pago

Si piensa que el estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es solo para comerciantes, piénselo de nuevo. He aquí por qué prácticamente todas las empresas pueden aumentar la seguridad y abordar los problemas de riesgo mediante PCI DSS.

El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un conjunto ampliamente aceptado de políticas y procedimientos dirigidos a asegurar las transacciones con tarjetas de crédito. Aunque se diseñaron con ese único propósito en mente, analistas y profesionales en el campo dicen que también puede proporcionar una base sólida para la obtención de datos financieros en casi cualquier organización.

¿Por qué? Resulta que las reglas de juego y las "mejores prácticas" que PCI DSS define y requiere son simplemente buenas.

David Lacey, autor de Una Guía Práctica para el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) e investigador de seguridad en la Asociación de Auditoría y Control de Sistemas de Información (ISACA) de Chicago, una organización independiente sin fines de lucro enfocada en seguridad, resaltó que PCI DSS se enfoca sobre todo en la prevención del robo de datos. Desde sus inicios, se ha centrado en prácticas rigurosas que pueden lograr ese objetivo.

Como prueba de su eficacia, citó el ejemplo de un banco que fue atacado por hackers. Los atacantes recibieron mucha información, pero no la información relativa a las tarjetas de crédito de los clientes. La razón, en su opinión, fue el uso de PCI DSS para proteger esos datos.

PCI DSS es una buena introducción a las prácticas de seguridad para las empresas. "Si se le da un tratamiento de directrices y lineamientos, así como una plantilla de puntos a considerar, en lugar de verse como un enfoque de caja de seguridad, puede ser eficaz", dijo Lysa Myers, investigadora de seguridad de ESET, una compañía de seguridad de TI. "Si alguien es nuevo en seguridad y busca orientación sobre cómo proteger su organización, [PCI DSS] puede ser un buen lugar para comenzar", agregó.

"Me gusta decir que PCI es el mercado vertical más grande. Casi todas las empresas necesitan hacer PCI", dijo John Kindervag, analista de Forrester Research, con sede en Cambridge, Mass. Ya sea que usted es un minorista de comercio electrónico, o un comerciante con un local, o ni siquiera es un comerciante en absoluto –sólo una empresa que a veces procesa un pago a través de tarjeta de crédito– usted tiene los mismos problemas básicos, explicó.

Algunos pueden no entender ese amplio enfoque, señaló. Además, muchas empresas piensan que no necesitan aplicar PCI DSS porque no están en el "sector de tarjetas de crédito". Sin embargo, agregó, ya sea que almacene o procese la información del titular de la tarjeta o simplemente tenga un acuerdo comercial con una marca de tarjeta, ya es un candidato potencial de PCI. Incluso un hospital que puede estar más centrado en las normativas de Portabilidad de Seguros de Salud y Responsabilidad es probable que acepte pagos con tarjeta para pagar facturas médicas o la comida en su cafetería, señaló.

"PCI es la iniciativa de cumplimiento más grande del mundo, e incluye a todas las partes del mundo y a las compañías de todo tamaño, sin importar si facturan $40 dólares al año o $40 millones de dólares, las reglas son las mismas en los Estados Unidos y en Bali", dijo Kindervag. El reto para las organizaciones individuales es determinar cómo extraer el mejor valor del proceso PCI DSS.

PCI DSS es importante por múltiples razones, según Kindervag. En primer lugar, es un "punto de partida bastante bueno" para cualquier cosa que desee hacer. "A las personas de seguridad que no les gusta o que tal vez simplemente no han leído los estándares, a menudo les doy una lista de algunos de los estándares que [PCI DDS] requiere y les pregunto cuáles de ellos no creen que sea una buena idea", Kindervag dijo. En otras palabras, es Seguridad 101, "pero a la gente todavía no le gusta tener que hacerlo", agregó.

En segundo lugar, PCI puede efectivamente desbloquear su presupuesto. Casi todas las preocupaciones de seguridad se pueden poner en la misma canasta con PCI, por lo que sería tonto no aprovechar eso, señaló Kindervag. Además, una vez que determine que necesita hacer PCI, esa determinación tiende a hacer que el presupuesto sea sacrosanto. "Cuando hablo con personas que se han trasladado de compañías que cumplen con PCI a compañías que no cumplen con las PCI, les resultó mucho más difícil conseguir el financiamiento que necesitaban cuando ya no tenían PCI", dijo.

Y además crea incentivos para una buena seguridad, añadió Kindervag. El cumplimiento en general es el principal motor de la seguridad en la mayoría de las organizaciones. Sin eso, la gente no lo haría. Los requisitos de cumplimiento son siempre el fracaso del gobierno corporativo. Sólo cuando fallamos en hacer lo que deberíamos haber hecho se consigue la atención y eso lleva a más reglas, dijo. Es nuestra culpa.

Él llama al estándar Payment Card Industry Data Security Standard (PCI DSS) el "programa espacial" de seguridad; todos nos beneficiamos. Por ejemplo, señaló, la industria aprendió sobre cifrado de datos en una escala masiva; sin PCI, nadie estaría mirando esto. "El movimiento hacia la seguridad de los datos ha evolucionado desde PCI", dijo.

Aplicación de PCI

De acuerdo con Kindervag, usted puede tomar todo lo que PCI ya le pide que haga para proteger los datos binarios de la tarjeta de crédito y aplicar eso a la protección de la propiedad intelectual, la información de identificación personal y más.

Kindervag dijo que habla con compañías que creen que necesitan un proyecto completamente separado para asegurar la información personal de la de salud. "Yo digo 'no', sólo hagan lo que están haciendo con PCI, usen PCI como la línea de base".

Usar PCI como una herramienta universal es lo que Kindervag denomina como "PCI desatada".

"Lo hago el fundamento de todo porque es tácticamente específico", dijo. Si ayuda, usted puede reasignar todos los requisitos a PCI. "Otros enfoques de seguridad harán lo que yo llamo la ‘seguridad de las porras’", dijo. No son específicos. Por el contrario, PCI lo lleva más allá de solo ser suficientemente bueno. Es muy específico sobre cosas como la gestión de contraseñas y los auditores no pueden decir que no es lo suficientemente bueno, porque no hay otro estándar que sea más específico.

"Casi cualquier información puede ser protegida usando las mismas técnicas de PCI", agregó.

Sin embargo, Myers señaló: "Me gustaría ver más énfasis en una evaluación de riesgos completa y en curso, para ayudar a las organizaciones a estar conscientes de su entorno y asegurarse con el tiempo". Por otro lado, dijo que la versión más reciente de PCI DSS está introduciendo la necesidad de la autenticación de dos factores, lo que refuerza aún más el proceso de inicio de sesión. "Esto hace que una contraseña robada ya no sea un solo punto de fracaso", señaló.

En última instancia, el valor de PCI radica en cómo se aplica, señaló Myers. El "contra" es cuando las organizaciones simplemente lo tratan como un ejercicio de caja de cheques en lugar de considerar de qué forma aborda realmente sus verdaderas necesidades. El "pro" de PCI es "cuando una organización toma el espíritu de la norma como un punto de inspiración para la forma de examinar sus sistemas", dijo.

Este artículo se actualizó por última vez en noviembre 2016

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close