En este artículo encontrarás:
El PCI DSS Compliance es un marco de requerimientos estandarizados de seguridad que regula las acciones que deben tomar las empresas para su gestión en la protección de datos de los usuarios.
Conocer todos los aspectos de este marco de control es indispensable para todo tipo de empresas. Por eso, te invitamos a seguir leyendo para descubrir 7 buenas prácticas de PCI DSS Compliance que no puedes dejar a un lado.
¡Quédate con nosotros!
Somos especialistas en regulación fintech. Pregúntanos por:
1. Transparencia de datos
En la era del cumplimiento, no solo de PCI DSS, sino también de las regulaciones de protección de datos como la Ley de Protección de datos en México o la normativa de protección de datos personales en Argentina, saber exactamente dónde está la información y hacia dónde va es un requisito indispensable.
Después de todo, una empresa no puede proteger algo de lo que no tiene conocimiento.
El requisito 3 de PCI DSS Compliance señala que los datos solo deben almacenarse en sitios particulares y reconocidos con acceso limitado para promover la protección de la información de las tarjetas de crédito, principalmente.
Por lo tanto, las organizaciones deben mapear su flujo de datos y hacer escaneos de red con regularidad para garantizar que la información de las TDC no se haya guardado u olvidado en ubicaciones no autorizadas por errores de los empleados.
Esto se puede hacer a través de soluciones de prevención de pérdida de datos que ofrecen herramientas de descubrimiento de información sensible, que pueden escanear las redes de forma automática o manual en búsqueda de datos de tarjetas de crédito, así como cifrar o eliminar la información cuando se encuentra en las computadoras de usuarios desconocidos.
Somos especialistas en regulación fintech. Pregúntanos por:
2. Protección de los datos en movimiento
Las dos formas principales en que se pueden proteger los datos en movimiento respecto al PCI DSS Compliance son la tokenización y el cifrado.
La tokenización genera una identificación alternativa para un número de tarjeta que luego se puede usar para transacciones, lo que reduce el riesgo de que la información real quede expuesta durante la transmisión.
Cuando hablamos del cifrado, es indispensable tener en cuenta que, a partir del 30 de junio de 2018, SSL/early TLS no son considerados formas seguras de cifrado y, por esta razón, no son suficientes para el cumplimiento de PCI DSS Compliance.
Las empresas que quieran utilizar esta técnica para proteger los datos de una TDC deben utilizar TLS versión 1.2 o superior.
La movilidad de los datos también puede verificarse a través de herramientas DLP que permiten a los administradores no solo monitorear las transferencias de información de tarjetas a través de políticas predefinidas, sino también bloquear su transferencia por completo mediante puntos de salida considerados inseguros, como servicios para compartir archivos o aplicaciones de mensajería instantánea.
Somos especialistas en regulación fintech. Pregúntanos por:
3. Restringir los derechos de acceso
Teniendo en cuenta el requisito 7 de PCI DSS Compliance, el acceso a los datos debe estar restringido únicamente al personal autorizado y de confianza.
Las organizaciones deben evaluar cuáles de sus empleados necesitan poder ingresar a la data sensible para cumplir con sus responsabilidades laborales y luego utilizar herramientas y los procesos adecuados para limitar el acceso en función de las necesidades comerciales.
Para lograr esto, los negocios deben, ante todo, implementar credenciales de identificación únicas para cada colaborador, para así poder rastrear qué usuarios toman acciones sobre estos datos valiosos de la tarjeta de crédito y evitar inicios de sesión simultáneos.
Los derechos de acceso pueden ser configurados de acuerdo con el alcance del trabajo de un empleado utilizando un software de administración de accesos — ARM — apropiado.
Somos especialistas en regulación fintech. Pregúntanos por:
4. Capacitación del personal
El eslabón más débil en cualquier estrategia de seguridad suele ser el humano: los empleados están detrás de más del 27% de las violaciones de datos según un informe elaborado por el Ponemon Institute.
En este sentido, es importante que las empresas no descuiden el factor humano en el PCI DSS Compliance. El software, ya sea DLP, ARM o antivirus, si bien puede aumentar la seguridad en gran medida, es mucho más eficaz cuando los colaboradores comprenden su necesidad y alcance.
Es menos probable que una fuerza laboral informada busque formas de eludir las medidas de seguridad cuando conoce su propósito.
Por lo tanto, las compañías deben invertir en capacitación del personal específica de la industria, asegurándose de que comprenden la relevancia de PCI DSS Compliance, los riesgos y consecuencias del incumplimiento.
Somos especialistas en regulación fintech. Pregúntanos por:
5. Documentar y registrar todo el proceso
Como parte del requisito 12 del PCI DSS Compliance, documentar todo subraya la necesidad de que las organizaciones mantengan registros de todas sus políticas y procedimientos de ciberseguridad, las evaluaciones de riesgos de los usuarios e incidentes de seguridad.
Una documentación sólida y respaldada ayuda a los gerentes de fraude y cumplimiento y a los profesionales de IT a tomar decisiones informadas sobre futuras medidas para un blindaje exitoso de los datos de interés.
Los registros y su constante monitoreo se encuentran bajo el requisito 10 de PCI DSS Compliance e incluyen documentación de todos los eventos de seguridad, servidores y componentes críticos del sistema.
Todos los negocios deben asegurarse de que su solución antivirus proporcione esta información. También pueden generar información de intentos de transferencias no autorizadas y los usuarios responsables de ellas a través de soluciones DLP.
Somos especialistas en regulación fintech. Pregúntanos por:
6. Protege tus contraseñas
Tener contraseñas seguras es solo el primer paso para la protección de datos confidenciales de la empresa.
Lo que muchas organizaciones pasan por alto son las contraseñas de productos de terceros como enrutadores, módems y sistemas POS.
Los productos de terceros a menudo vienen con claves configuradas de fábrica, lo que los hace vulnerables a determinados ciberatacantes.
Hay que cambiar las contraseñas cada cierto período ya sea semanal o mensualmente de los dispositivos preconfigurados que utilicemos y mantener un inventario registrado y actualizado para poder cambiarlos según sea necesario.
Somos especialistas en regulación fintech. Pregúntanos por:
7. Cifrar los datos
Al realizarse un pago, los datos del cliente se envían a través de múltiples canales, como tiendas electrónicas, oficinas y procesadores de pagos.
Para cumplir con PCI DSS Compliance, toda la data debe estar encriptada durante el tránsito.
Es por esta razón que debemos utilizar una solución de cifrado punto a punto o “point-to-point" (P2PE) para garantizar que la información valiosa del titular nunca sea vulnerada por un hacker y que no sea objeto de delito como los casos más emblemáticos de fraudes financieros.
Somos especialistas en regulación fintech. Pregúntanos por: