La llegada en 2020 de una nueva edición del estándar PCI DSS, el PCI DSS 4.0, vuelca la mirada de los expertos al estado de cumplimiento de todos sus requisitos por parte las organizaciones y empresas. La evaluación global demuestra un incremento en las debilidades en cuanto a la efectividad de las soluciones de software de seguridad y aplicaciones seguras, así como en el mantenimiento en la evaluación continua de los procesos de protección de datos.
Según el más reciente reporte sobre seguridad en medios de pago de la firma Verizon, 2019 Payment Security Report, 15 años después de la puesta en vigor del Payment Card Industry Data Security Standard (PCI DSS), el número de empresas que logran y mantener el cumplimiento al 100% de estos 12 requisitos se ha reducido del 52.5 por ciento registrado en 2018 a un mínimo de 36.7 por ciento en todo el mundo.
PCI DSS tiene el objetivo es gestionar la seguridad de los sistemas y las redes que procesan, almacenan y/o transmiten datos de tarjetas de crédito y débito. Su establecimiento es de carácter obligatorio en todas las empresas que incorporan pagos con tarjeta de crédito en sus canales off y online. Está compuesto de seis categorías que engloban 12 requisitos o procesos de protección de datos que se deben implementar en la gestión de transacciones comerciales de las empresas en todo el mundo.
“Las principales debilidades que se reportan en el 2019 Payment Security Report atañen a la efectividad de las tecnologías de protección de los datos ante vulnerabilidades y ataques del exterior en los sistemas críticos de las empresas (Requisito 6 del estándar); así como en el cumplimiento de programas continuos de evaluación de los procesos de gestión de datos”, destaca Alberto España, Vicepresidente Senior de GM Security Techologies.
En cuanto a las regiones más normalizadas con los protocolos de PCI DSS destacan en el más alto nivel las organizaciones en Asia-Pacífico (APAC) con 70% de mantenimiento de las normas, en comparación con el 48% Europa, Medio Oriente y África (EMEA) y el 20,4% de los países de las Américas.
“En GM Security Technologies (GMST), estamos convencidos de que la manera más eficaz de mejorar la postura de seguridad general en los sistemas de pago es continuar evangelizando sobre la importancia del cumplimiento de los PCI-DSS y asesorando a los comerciantes”, agrega Alberto España.
GMST se ha convertido en la principal empresa de servicios de seguridad y prevención de fraudes de la industria de pagos con tarjeta en América Latina gracias a su reciente adquisición de 1st Secure IT, una firma de ciberseguridad de la información con base en Estados Unidos.
Los requisitos del PCI DSS
El Payment Card Industry Data Security Standard (PCI DSS) consta de seis categorías, 12 requisitos, alrededor de 200 controles y 250 procedimientos de prueba con el fin de garantizar la confidencialidad de los datos de la tarjeta de pago.
A continuación, se detallan sus 12 requisitos fundamentales:
Construir y mantener una red segura
- Instalar y mantener una configuración firewall para proteger los datos.
- No usar contraseñas o valores predeterminados suministrados por los proveedores. Proteger los datos de los titulares de las tarjetas
- Salvaguardar la información personal de los propietarios de las tarjetas.
- Cifrar la transmisión de datos e información confidencial de los titulares a través de redes públicas abiertas. Establecer un programa de gestión de vulnerabilidades
- Actualizar y activar el programa antivirus de forma regular.
- Desarrollar y mantener sistemas y aplicaciones seguras. Crear medidas sólidas de control de acceso
- Limitar el acceso a la información únicamente a las empresas que lo necesiten.
- Asignar una identificación única a cada persona con acceso al sistema.
- Restringir el acceso físico a los datos solo a los propietarios de la tarjeta. Monitorizar y testar regularmente las redes
- Rastrear y monitorizar el acceso a los recursos de red y datos del titular.
- Realizar pruebas habituales en los sistemas y procesos de seguridad. Mantener una política de seguridad de la información actualizada
- Crear una política que contemple y mantenga actualizada los aspectos relacionados con seguridad de la información.