Cumplimiento PCI, ¿obligación o necesidad?

0

Por Flor Páez, Security Manager BCD Travel México

Actualmente vivimos en un mundo tecnológicamente en constante evolución que nos permite gozar de muchos beneficios brindados por IoT (Internet of Things, o mejor conocido como Internet de las cosas) que generaciones atrás siquiera lo contemplaban.

Desafortunadamente mucha de la tecnología (disponible ya para todos) es lanzada al mercado sin estar regulada por organismos o instituciones que validen que realmente cumple con estándares internacionales de seguridad de la información, ocasionando de esta manera que cualquier persona que adquiera esta tecnología y realice cualquier actividad en un dispositivo con conexión a internet (un smartphone por ejemplo) sea altamente vulnerable a robo de información o fraude cibernético.

Estamos viviendo entre una ola de ataques cibernéticos que no dejan de cesar y cada vez se suman a la lista individuos, empresas e instituciones de gobierno de todo tipo. A pesar de esto, siguen siendo temas legales o de cumplimiento con alguna norma o estándar que es requerido por alguna institución bancaria, salud, gobierno, etcétera, los principales motivos de implementar controles de seguridad, dejando así como motivos secundarios la iniciativa propia de querer estar protegido y la preparación proactiva ante cualquier situación de ataque cibernético considerando que es inevitable que algún día seamos víctimas, siendo solo una cuestión de tiempo.

Algunas de estas normas o estándares internacionales son el PCI DSS (siendo este ya muy conocido entre las agencias de viajes por mandato de IATA), ISO27001 (Norma Internacional correspondiente a la seguridad de la información, SOX (Ley Sarbanes Oxley), LFPDPPP (Ley Federal de Protección de Datos Personales, GDRP (General Data Protection Regulation), HIPAA (Health Insurance Portability and Accountability Act), entre otras más.

En la industria de los viajes, se obtienen datos personales y de tarjetas de crédito los cuales se consideran como sensibles o confidenciales y por lo tanto deben ser protegidos ya que son regulados por  el estándar PCI DSS (Payment Card Industry Data Security Standard) , LFPDPPP  (aplica solo a México) y GDPR (siendo la más reciente legislación de alcance mundial).

El estándar PCI DSS se aplica a todas las entidades que almacenan, procesan o transmiten datos de tarjeta de crédito. El cumplimiento del estándar PCI ayuda a proteger los datos del titular de la tarjeta de los accesos o usos no autorizados así como también a reducir las vulnerabilidades en el entorno del proceso de pago con tarjeta. Al estar en no cumplimiento con el estándar, se pueden aplicar sanciones económicas a través de los bancos adquirientes que abarcan desde un aumento del precio de las transacciones de las tarjetas de crédito hasta multas considerables, sin olvidar las consecuencias de una reputación empresarial dañada en caso de infracción.

Entonces considerando que existen diversas normas o estándares de seguridad, a través de las siguientes preguntas se obtiene una orientación acerca de cómo implementar alguna de ellas para poder elevar el nivel de seguridad en cualquier empresa:

¿Cuál estándar se debe aplicar? Dependiendo del giro de la empresa y de los datos que se procesen durante el almacenamiento o transferencia de los mismos hacia terceros o proveedores de servicios, es la regulación que se debe tomar en cuenta antes de implementar cualquier control de seguridad. El beneficio de cualquiera de estas es mejorar la gestión de seguridad de la información en cualquier empresa o lugar que se implemente.

¿Cuál es el reto? El reto principal al que se enfrentan las empresas al querer implementar las normas o estándares es la complicación de llevarlo a cabo ya que se carece de personal con experiencia en seguridad de la información a la vez que es altamente costoso porque también se requiere comprar herramientas de tecnología que ayuden a proteger la información. Sumando además la complejidad de contar con capacitación constante en seguridad de la información hacia todo el personal. Siempre lo más vulnerable dentro de las organizaciones son las personas.

¿Cuál sería el impacto de no implementar ningún estándar o regulación? En algunos casos y tomando como ejemplo a PCI DSS, LFPDPPP, GDRP, no lograr ni mantener el cumplimiento de las normas de seguridad puede dar lugar a sanciones económicas y legales, además del daño a la reputación y la pérdida de clientes.

Flor dice: Estar en cumplimiento con normas o estándares no depende 100% de la tecnología. Todos los empleados contribuyen a que la seguridad sea un éxito o fracaso en las empresas por lo que deben recibir capacitación constante de los riesgos y ataques actuales. Es importante que antes de comprar cualquier tecnología en seguridad sean asesorados por profesionales en seguridad que cuenten con la debida preparación, certificación, profesionalismo, ética y objetividad para que los guíen y acompañen en la selección de tecnología o soluciones que deben implementar primero en la actual tecnología administrada por IT.

Mucha de la infraestructura es vulnerable a diversos y sofisticados ataques, por lo que primero hay que empezar a cuidar lo que ya está conectado en la red e implementar un efectivo manejo de incidentes además de un constante monitoreo de lo que no es normal en el tráfico de red (es la que nos permite comunicarnos interna y externamente) y en las estaciones de trabajo de los usuarios.

Share.

About Author

Leave A Reply