Si su empresa es responsable de los pagos con tarjeta de crédito, el cumplimiento de la norma PCI DSS es una parte esencial de la protección de los datos de las tarjetas de pago de los clientes y de la protección de su propio negocio de las consecuencias devastadoras de una violación de datos.
La desafortunada realidad es que el fraude con tarjetas de crédito sigue aumentando, y según la Red de Centinelas del Consumidor de la Comisión Federal de Comercio, los informes de fraude con tarjetas de crédito aumentaron un 104% entre el primer trimestre de 2019 y el primer trimestre de 2020.
Proteger los datos de los titulares de tarjetas nunca ha sido tan importante y la norma PCI DSS sienta las bases para mantener las estrictas medidas de seguridad necesarias para proteger estos datos sensibles. Nuestra guía sobre el cumplimiento de la norma PCI DSS explica cómo funciona esta norma, a quién se aplica y qué pasos debe seguir para cumplirla.
¿Qué es la PCI DSS?
La Norma de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS) es un conjunto de normas de seguridad diseñadas para reducir el riesgo de fraude con tarjetas de crédito y aumentar la seguridad de los datos de las tarjetas de pago. Fue fundado en 2004 por las cuatro principales compañías de tarjetas de crédito: Visa, Mastercard, Discover y American Express. El PCI DSS ha evolucionado a lo largo de los años y ahora está regulado por el PCI Security Standards Council (PCI SSC). El PCI SSC define y gestiona las normas, mientras que las empresas de tarjetas de crédito se encargan de velar por su cumplimiento.
¿A quién afecta la PCI DSS?
La PCI DSS se aplica a cualquier organización que almacene, procese o transmita datos de titulares de tarjetas. Para determinar los requisitos de cumplimiento que se aplican a las empresas individuales, el PCI SCC creó un sistema de cuatro niveles que clasifica a las empresas en función del tamaño de las transacciones y el riesgo.
Nivel 1 - Comerciantes que procesan más de 6 millones de transacciones al año, o aquellos que han tenido datos comprometidos en el pasado.
Nivel 2 - Comerciantes que procesan entre 1 y 6 millones de transacciones anuales.
Nivel 3 - Comerciantes que procesan entre 20.000 y 1 millón de transacciones al año.
Nivel 4 - Comerciantes que procesan menos de 20.000 transacciones al año.
A pesar de la creación de múltiples niveles, los requisitos siguen siendo los mismos para todos los comerciantes y proveedores de servicios, en todos los sectores.
¿Cómo pueden verse comprometidos los datos de los titulares de las tarjetas?
Para acceder a los datos sensibles de los titulares de las tarjetas, los ciberdelincuentes intentarán explotar cualquier vulnerabilidad de seguridad en sus sistemas operativos y dispositivos. Esto podría ser a través de:
- Lectores de tarjetas
- Sistema de punto de venta
- Base de datos del sistema de pagos
- Redes de almacenamiento
- Portales en línea
- Red inalámbrica
- Registros en papel
¿Cuáles son los 12 requisitos del cumplimiento de PCI DSS?
La DSS de la PCI contiene 12 requisitos diseñados para proteger los datos de los titulares de las tarjetas y evitar las filtraciones de datos. Estas normas no solo se aplican a los comerciantes, sino a cualquier otra empresa que almacene, procese o transmita datos de titulares de tarjetas.
1. Instalar y mantener una configuración de cortafuegos para proteger los datos de los titulares de las tarjetas.
Un cortafuegos es un dispositivo de seguridad de red que supervisa el tráfico de red entrante y saliente y decide si bloquear un tráfico específico en función de un conjunto de reglas de seguridad definidas. Es la primera línea de defensa contra las amenazas a la seguridad y debe probarse, gestionarse y actualizarse regularmente.
2. No utilice los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad
Los ciberdelincuentes suelen utilizar contraseñas y configuraciones por defecto para comprometer los sistemas. Es vital que cambie inmediatamente cualquier credencial por defecto antes de introducir nuevos sistemas en su red.
3. Proteger los datos almacenados de los titulares de las tarjetas
La protección de los datos de los titulares de tarjetas, ya sea en formato físico o digital, es crucial para cumplir con la norma PCI DSS. Los ciberdelincuentes suelen atacar los datos de los titulares de tarjetas almacenados y utilizarlos para realizar transacciones fraudulentas. Cuando los datos de los titulares de las tarjetas deban almacenarse, deberá asegurarse de que se aplican las medidas de seguridad correctas para cumplir los distintos requisitos legales, normativos y de conformidad.
4. Cifrar la transmisión de los datos de los titulares de las tarjetas a través de redes públicas y abiertas
Cuando los datos de los titulares de tarjetas se transmiten a través de redes de fácil acceso, los ciberdelincuentes pueden intentar interceptarlos. Para garantizar que los datos estén seguros y protegidos, deben ser encriptados con criptografía fuerte y protocolos de seguridad como Secure Shell (SHH), IPSec y Transport Layer Security (TLS).
5. Utilice y actualice regularmente el software antivirus
Debe instalarseun software antivirus en todos los sistemas críticos de la empresa para evitar que se introduzcan programas maliciosos en su red. Esto ayudará a proteger los datos de los titulares de las tarjetas y proporcionará una mayor protección contra los virus de nueva creación.
6. Desarrollar y mantener sistemas y aplicaciones seguros
Los ciberdelincuentes suelen aprovechar cualquier vulnerabilidad de su sistema para acceder a los datos sensibles de los titulares de las tarjetas. Los proveedores de redes publican periódicamente parches para solucionar las vulnerabilidades de seguridad, por lo que es fundamental que los aplique en cuanto se publiquen. Los parches son esenciales para mantener los sistemas actualizados, estables y a salvo del malware y otras amenazas.
7. Restringir el acceso a los datos del titular de la tarjeta por necesidad de conocimiento de la empresa
El acceso a los datos de los titulares de las tarjetas sólo debe concederse en función de la necesidad de conocerlos. Los errores de los empleados siguen siendo la principal causa de todas las violaciones de datos, por lo que deben establecerse sólidos controles de acceso para garantizar que solo se permita el acceso al personal que necesita realizar transacciones.
8. Identificar y autentificar el acceso a los componentes del sistema
A cada miembro del personal que tenga acceso a información sensible se le debe asignar una identificación única. De este modo, se podrá hacer un seguimiento de quién accede a determinados sistemas y cuándo lo hace.
9. Restringir el acceso físico a los datos del titular de la tarjeta
El acceso físico a los sistemas informáticos que contienen datos de los titulares de tarjetas debe estar restringido a los miembros del personal autorizados. Esto evitará que cualquier persona no autorizada acceda físicamente a los sistemas o haga copias impresas de los datos sensibles.
10. Seguir y controlar todos los accesos a los recursos de la red y a los datos de los titulares de las tarjetas
El acceso a los recursos de la red y a los datos de los titulares de las tarjetas debe supervisarse estrechamente, y toda la actividad debe registrarse. Este registro de auditoría puede ayudar a detectar comportamientos maliciosos y a identificar una infracción.
11. Probar periódicamente los sistemas y procesos de seguridad
Continuamente surgen nuevas vulnerabilidades, por lo que es importante probar periódicamente sus sistemas y procesos para garantizar el mantenimiento de la seguridad. La norma PCI DSS también recomienda la realización de pruebas de penetración periódicas y el uso de sistemas de detección y prevención de intrusiones para garantizar la seguridad de los datos de los titulares de las tarjetas.
12. Mantener una política que aborde la seguridad de la información para todo el personal
Debe aplicarse en toda la empresa una política de seguridad sólida que cumpla con la norma PCI DSS. Esto ayudará a establecer un estándar para lo que se espera de su personal y destacará la necesidad de la seguridad de los datos dentro de su organización.
¿Por qué es tan importante el cumplimiento de PCI DSS?
El cumplimiento de los requisitos de la PCI DSS es fundamental para poder procesar transacciones con tarjeta, proteger los datos de los titulares y reducir la posibilidad de que se produzca una infracción costosa. Aunque PCI DSS no es un requisito legal, en virtud del GDPR, los datos de las tarjetas de crédito se consideran datos personales, lo que significa que usted está legalmente obligado a mantener estos datos seguros y protegidos.
¿Qué ocurre si no cumple con la norma PCI DSS?
El incumplimiento de la norma PCI DSS puede provocar graves incidentes de seguridad, como la violación o el robo de los datos de los titulares de tarjetas. Una filtración de datos puede causar un daño irreparable a su empresa y, además de las multas, su empresa podría enfrentarse a otras consecuencias por no poder proteger los datos sensibles de los titulares de las tarjetas. Entre ellas se encuentran:
- Mayor riesgo de que los datos de las tarjetas de pago se vean comprometidos
- Multas y sanciones
- Gastos de indemnización
- Pérdida de confianza del consumidor
- Daño a la reputación de la marca
- Acciones judiciales: costes, acuerdos y sentencias
- Pérdidas de empleo
- Cese de la capacidad de procesar tarjetas de pago
- Cerrar el negocio
Conclusión:
Los ciberdelincuentes se aprovechan del aumento de las transacciones digitales y explotan las vulnerabilidades de los sistemas para acceder a los datos sensibles de los titulares de las tarjetas. Para combatir esta actividad fraudulenta, es vital que su organización cumpla con la norma PCI DSS y tome todas las medidas necesarias para asegurar las transacciones de pago y proteger los datos de los clientes.
Para ayudar a mejorar la concienciación en materia de ciberseguridad dentro de su organización y reducir la posibilidad de una costosa violación de datos, hemos creado un recurso indispensable para implementar un cambio de comportamiento y crear una cultura de concienciación cibernética.
En esta guía Cyber Security Awareness For Dummies, aprenderá:
-Cómo implementar una campaña de concienciación sobre riesgos cibernéticos.
-Cómo mantener el impulso, el compromiso y la atención del personal hacia las amenazas de ciberseguridad.
-10 mejores prácticas de concienciación sobre ciberseguridad.
Haga clic aquí para acceder a su guía Cyber Security Awareness For Dummies.