Ante los crecientes eventos de robo de información y ataque a los sistemas de las empresas con los altos costos financieros y el impacto en la imagen y la confianza de las empresas, la inversión en seguridad no es una opción sino una medida absolutamente necesaria. Conoce los beneficios de PCI-DSS.
En los años recientes, el robo de información, los fraudes cibernéticos y los ataques a los sistemas institucionales han crecido de manera dado el involucramiento del crimen organizado.
Según Forbes, México registró 300,868,532 ataques de malware en el último año (octubre de 2018 al mismo mes de 2019), lo que representó un incremento de 31% comparado con el periodo anterior, con lo que se posiciona en la segunda región que más ataques cibernéticos registró en América Latina y el noveno a nivel mundial.
La Comisión Nacional Bancaria y de Valores (CNBV). Del total de intentos de ciberataques en contra de bancos, socaps, sofipos y fintechs, más de 40% tuvo éxito. La respuesta y recuperación ante estos ciberataques tuvo un costo para estas instituciones de alrededor de $ 107 millones de dólares durante el 2018, lo que representa entre 1 y 1.7% del EBITDA que generaron el año
inmediato anterior.
inmediato anterior.
Esta situación, ha generado preocupación mundial, provocando que diferentes industrias se unan para determinar cuáles son los estándares que las empresas deben adoptar para garantizar la seguridad de la información, de sus sistemas y transacciones, definiendo dos certificaciones principales PCI-DSS e ISO 27001.
1. ¿QUÉ ES PCI-DSS?
El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard) o PCI DSS, es una certificación creada con la finalidad de ayudar a las organizaciones que procesan, almacenan y/o transmiten datos de tarjetahabientes (o titulares de tarjeta), con el fin de evitar los fraudes que involucran tarjetas de pago débito y crédito. Hoy en día, esta certificación es fundamental en cualquier operación que maneja información sensible del cliente, aunque no realice transacciones. Este estándar, fue desarrollado por un comité conformado por las compañías de tarjetas (débito y crédito) más importantes del mundo en el año 2006, comité denominado PCI SSC (Payment Card Industry Security Standards Council).
Una organización puede obtener la certificación PCI-DSS en cuatro niveles de cumplimiento, que se basan en la cobertura de los 12 controles marcados por PCI DSS.
2. ¿CÓMO SE PUEDE OBTENER CADA NIVEL?
Cada nivel tendrá un grado de dificultad distinto que depende de los requerimientos que exige el estándar, por lo que no todas las organizaciones pueden alcanzar el nivel 1, el cual es que el garantiza los más altos niveles de seguridad.
A continuación enlistamos los niveles y sus requerimientos particulares:
Como observamos en la tabla anterior, los niveles 3 y 4 en realidad no implican que un centro sea seguro, es sólo el inicio del proceso. El proceso de certificación que una organización debe cumplir para estar dentro del estándar PCI-DSS nivel 1 es largo y costoso; sin embargo, los riesgos económicos de no cumplir con la normativa del nivel 1 son astronómicos.
3. ¿CUÁLES SON LOS PUNTOS DE SEGURIDAD QUE BUSCA CUIDAR PCI-DSS?
PCI engloban la monitorización y control del negocio, clima de seguridad, gestión de incidentes, control de proveedores, gestión de riesgos y seguridad integral.
Estos puntos de seguridad se desarrollan en 12 controles descritos por PCI DSS:
1. Instalar y mantener una configuración de firewall para proteger los datos de los titulares de tarjetas.
2. No utilizar los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
3. Proteger los datos almacenados de los titulares de tarjetas.
4. Cifrar la transmisión de los datos de los titulares de tarjetas a través de redes públicas abiertas.
5. Usar y actualizar con regularidad el software antivirus.
6. Desarrollar y mantener sistemas y aplicaciones seguras.
7. Limitar el acceso a los datos de los titulares, únicamente a lo que los negocios necesiten saber.
8. Asignar una identificación única a cada persona con acceso a una computadora.
9. Restringir el acceso físico a los datos de los titulares de tarjetas.
10. Rastrear y monitorear todo acceso a los recursos de la red y a los datos de titulares de tarjetas.
11. Probar con regularidad los sistemas y procesos de seguridad.
12. Mantener una política que aborde la seguridad de la información.
2. No utilizar los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
3. Proteger los datos almacenados de los titulares de tarjetas.
4. Cifrar la transmisión de los datos de los titulares de tarjetas a través de redes públicas abiertas.
5. Usar y actualizar con regularidad el software antivirus.
6. Desarrollar y mantener sistemas y aplicaciones seguras.
7. Limitar el acceso a los datos de los titulares, únicamente a lo que los negocios necesiten saber.
8. Asignar una identificación única a cada persona con acceso a una computadora.
9. Restringir el acceso físico a los datos de los titulares de tarjetas.
10. Rastrear y monitorear todo acceso a los recursos de la red y a los datos de titulares de tarjetas.
11. Probar con regularidad los sistemas y procesos de seguridad.
12. Mantener una política que aborde la seguridad de la información.
Debemos de tener en cuenta que estos 12 controles hacen referencia a las tareas generales, en la ejecución hacia los sistemas lógicos, físicos y procesos existirán más de 300 puntos de revisión a cumplir.
4. ¿CÓMO LLEGO A LA CERTIFICACIÓN?
Etapa I. Preparación interna
La etapa interna consiste en preparar a la organización en todos sus aspectos para este proceso de certificación, no solo los sistemas, también los procesos y por supuesto a las personas. Las actividades son:
- Definición del alcance: La organización deberá decidir el alcance de esta certificación, puede ser por un proyecto determinado o bien de sitio, deberá considerar que según el alcance será la inversión y el tiempo.
- Responsables: Tendrán que definir responsables tanto de coordinar la implementación, como un comité de seguimiento a la misma. Este comité deberá de ser integrado principalmente por la alta dirección de la compañía para obtener el apoyo necesario.
- Adecuación de sistemas lógicos, físicos y procesos: El proceso de PCI se basa un 80% o más en la revisión de la seguridad de los sistemas lógicos y que esta seguridad sea consistente, basada en procesos. El costo de adecuación de un centro de datos, adquisición de sistemas, licencias, software de monitoreo, herramientas de control, CCTV, controles de acceso como arcos de seguridad, torniquetes, biométricos, servidores, antivirus, entre otros; puede representar de 7 a 10 mdp de inversión inicial, más los costos que provengan de la auditoría propia y el mantenimiento del certificado, considerando se trate de una “organización madura”, de lo cual hablaremos más adelante.
- Conciencia humana: Si el recurso no es consciente del impacto la certificación, está no se logrará. Es necesario desarrollar cursos de inducción y de formación continua para el personal en general y de especialización para personal clave como auditores internos y personal de TI. Nuevamente, se deberán tomar en cuenta los costos que esto implica, que pueden ir desde los 5 mil pesos por persona hasta los 60 mil pesos dependiendo el tipo de curso a ejecutar.
- Auditoría Interna: Para este momento la organización debería de estar en un avance mayor al 90% de implementación de controles, haber designado responsables y capacitado a los recursos. Se deberá realizar un escaneo interno de vulnerabilidad y los auditores internos designados deberán realizar entrevistas con cada responsable buscando el cumplimiento marcado por el estándar.
- Mitigación de Vulnerabilidades: Del resultado de la auditoria interna y escaneo de vulnerabilidad, se deben generar planes de acción que servirán para mitigar los riesgos detectados y como evidencia para presentar al momento de la auditoria para la certificación.
Etapa II. Auditoria y certificación
Una vez que se han implementado los 12 controles de PCI-DSS, se deberá cumplir un proceso de auditoria exhaustivo.
Esta etapa se dividirá en 5 actividades:
Los costos de esta auditoria presencial para obtener PCI-DSS Nivel 1 podrían ir desde los 2 MDP hasta 5 MDP, según el alcance definido. Una vez obtenida esta certificación deberán existir escaneos trimestrales que se envían a la certificadora para demostrar la continuidad del nivel de los controles implementados, si se llegará a incumplir podría existir incluso la cancelación del certificado.
¡Conoce recomendaciones para obtener la certificación PCI-DSS descargando nuestro whitepaper!
