Blog Cisco Cansac

Estándar de Seguridad de la Industria de las Tarjetas de Crédito PCI-DSS: Rumbo al cumplimiento Regulatorio y a recuperar la confianza del tarjetahabiente

6 min read



Antes de empezar, quisiera recordar el significado de unas palabras que hace mucho tiempo no usamos pero que hacían de nuestra vida más simple y nos evitaba muchas molestias a la hora de adquirir bienes de valor o servicios. Según el diccionario de la lengua española:

trueque.
1. m. Acción y efecto de trocar o trocarse.
2. m. Intercambio directo de bienes y servicios, sin mediar la intervención de dinero.
Moneda. (Del lat. monēta).
1. f. Pieza de oro, plata, cobre u otro metal, regularmente en forma de disco y acuñada con los distintivos elegidos por la autoridad emisora para acreditar su legitimidad y valor, y, por ext., billete o papel de curso legal.
 
La realidad actual es que nuestra vida, y lo pongo así, porque muchas veces depende de qué comemos o de si nos vestimos bien para salir, o si podemos ver la película en el cine o si la vemos en DVD, está enmarcada actualmente en un elemento de 86 x 54 mm que llamamos tarjeta de crédito/ débito. Desde su aparición en los inicios del siglo XX, y su masivo uso en la década de los 40s, hemos utilizado “el dinero plástico” como un medio de adquisición o arrendamiento de bienes, que en muchas ocasiones a reemplazado el uso de las monedas o billetes por la gran  facilidad de poder llevarla a donde queramos y por la gran aceptación de los agentes de venta de aceptarlas.
La gran explosión del Internet, trajo también una gran oportunidad de negocios de compra en línea de productos, la movilidad y el uso de teléfonos inteligentes,  una gran oportunidad de los bancos de poder ofrecer productos y servicios de manera interactiva, y desde el punto de los retails (tiendas) la oportunidad de ofrecer una manera flexible sus productos sin forzar a un pago inmediato a los compradores.
El mismo hecho de poder tener la oportunidad de pagar de manera más sencilla los bienes, hace también que haya una gran oportunidad desde el punto de vista criminal de poder robar información y por lo tanto dinero a los tarjetahabientes (personas que poseen una tarjeta de crédito). Los hackers ya no se basan en la fama, en salir en portadas, los hackers se basan en poder robar información sin que nadie se de cuenta. Millones de millones de dólares son robados en el mundo que prácticamente se hace algo común ver en revistas temas relacionados a fraude o escuchar de familiares que alguien les vació la cuenta de ahorros o hicieron una compra en Bangkok, cuando uno sigue en su país. Refiéranse en la web a “Albert Gonzales” para que sepan de la magnitud de lo que se escribe.
Teniendo en cuenta la realidad y que la utilización de la tarjeta de crédito como medio de pago iba decreciendo debido al miedo de los usuarios, los mismos sponsors VISA, Mastercard, American Express, JCB y Discovery tuvieron que juntarse y hacer común sus normas de seguridad y crear un estándar que permita a las empresas que procesan, transmiten y almacenan datos de los tarjetahabientes mantener una política de seguridad en los diferentes puntos de la red y de las aplicaciones, permitiendo controlar el fraude externo e interno y disminuir las posibilidades de ataques informáticos que puedan perjudicar la utilización de las tarjetas de crédito como medio de pago. Este estándar se llama “Estándar de Seguridad de Data de la Industria de las Tarjetas de Crédito” o en su acrónimo en inglés PCI-DSS, la cual hablaremos en los siguientes líneas.
 
PCI-DSS: Estándar de Seguridad de Data de la Industria de las Tarjetas de Crédito.
En Diciembre 15 del 2004, las cuatro empresas más grandes de tarjetas de crédito, llámense VISA, Mastercard, American Express, JCB y Discovery, se reunieron para crear una junta neutral de personas que puedan discutir, analizar y aterrizar la problemática y dar soluciones al fraude con las tarjetas de crédito. Esta junta libera una serie de recomendaciones basado en doce puntos tecnológicos que toda empresa que procesa, transmite y almacena debe de cumplir como mínimo para asegurar que su red tiene una baja probabilidad de ser  víctima de fraudes informáticos. 
La versión 1.2 de mayor aceptación se dio en Octubre del 2008, siendo la última liberada la versión 2.0 en Octubre del 2010. En ambos casos, se empezó  a aplicar la normativa en países iniciales como Estados Unidos, pasando por Europa, y finalmente el resto del mundo, que incluye Latinoamérica, siendo esta obligatoria para el 2012. Bajo esta premisa, se preguntarán: ¿estaré dentro del grupo que debe de pasar el estándar? ¿es una ley dentro de mi país para yo sentirme obligado a pasar?
Remarco la frase hecha ya dos veces en este artículo que dice: todo aquel que procese, transmite o almacena datos de tarjetahabientes. No hay nada más general que esa frase, desde aquel que procesa las transacciones como las entidades encargadas de la aceptación de una transacción: tiendas, procesadoras de pagos, pasando por aquellas que transportan información: procesadoras, proveedores de servicio, terminando en el que almacena: bancos y financieras, incluso aquel que tenga un POS (punto de venta), debe de ver si está dentro del marco de cumplimiento. Dependiendo de la relevancia de la cantidad de transacciones anuales, se clasifican a estos en determinados niveles, que obliga a tener determinados requerimientos de cumplimiento con respecto a la norma: desde el llenado de una carta jurada de cumplimiento, hasta una auditoría completa en la red.
Desde el punto de vista legal, el estándar no es una obligación legal que cumplir, es una responsabilidad de las empresas adoptarla y hacerla suya.  Bajo este contexto, muchas entidades de regulación en países están tomando como referencia el estándar y haciéndolo ley o circular, para hacer que las empresas o entidades que están dentro del rango de obligación pasen el estándar sin excusas.
 
Doce puntos de la normativa: ¿Doce dolores de cabeza?
Resumamos los doce puntos del estándar:
 
Desde el punto de vista funcional, el estándar nos dice que todo sistema o componente de la red tiene que estar en cumplimiento con la regulación. No se trata de que la base de datos, o el firewall, o el IPS o el router cumplan para cumplir el estándar. Se trata de que todos en conjunto como sistema puedan llegar al cumplimiento, y para ello se debe de iniciar desde lo más importante: un análisis real de las políticas de seguridad en la red. El poder responder qué debe de ingresar a la red, en qué momento, qué recursos son los que entran al alcance de la regulación, cuáles no se involucran en el proceso, como las políticas son distribuidas, etc. Con esto, al tener un entendimiento de las necesidades de negocio y políticas de seguridad, una Arquitectura de red y de seguridad debe de poder trasladar las políticas a puntos de ejecución.
La Red se vuelve en el factor crítico para hacer realidad esos procesos y para convertir esos doce puntos en algo tangible que aumente la seguridad en la red y nos permite alcanzar la certificación. Una visión basada en Arquitectura, más la capacidad de lograr una ejecución holística es la clave del éxito. Quien viene solo a decir que con un firewall se cumple o que te damos todas las partes pero no se integran, está vendiendo ilusiones de gitano.
 
Siguientes pasos: Una jornada al ordenamiento de la Red y Seguridad – PCI-DSS como oportunidad
“No hay problema que no podamos resolver juntos, y muy pocos que podamos resolver por nosotros mismos.” Una frase de Lyndon Johnson que resume el siguiente paso a seguir que se llama UNIDAD. La responsabilidad en este proceso es de todos los involucrados en la empresa, desde el equipo de redes y sistemas, pasando por los oficiales de seguridad, el responsable de las tarjetas, el área de finanzas y la gerencia administrativa. No se logra alcanzar la meta del estándar si no hay un compromiso de todas las partes para poder lograrlo.
Desde el punto de vista del que maneja la red, es un beneficio el poder ir hacia una Arquitectura integrada, desde el punto de vista de seguridad, una manera de ordenar y aplicar las políticas de la red;  desde el punto de vista del responsable de tarjetas, una manera de llamar a la confianza a más clientes; desde el punto de vista de finanzas, evitar una multa gigantesca, y desde el punto de vista de la gerencia, una oportunidad de demostrar a sus competencia y clientes que son mejores en seguridad. Veamos al estándar como una oportunidad, más que una limitación.
PCI-DSS ya es una realidad en la región, y nos toca tomar decisiones responsables de cómo lograr pasar el estándar, buscar afirmar la confianza del uso de la tarjeta de crédito como medio de pago, y darle la confianza a los tarjetahabientes de que no van a tener problemas de fraude o hurto por el uso de ellas y aunque aún confío en el uso de tarjetas de crédito, y se que las voy a usar por mucho tiempo más, como no añoraría lograr hacer un trueque y cambiar mi vieja computadora por una tableta.
 
Gianfranco Tori De Florio
Systems Engineer – Andean Region
Cisco Systems

Authors

Daniel Garces

Marketing Manager

Americas

Tags:
Leave a comment


1 Comments

  1. Buenos CISCO manos a la obra… hay que recuperar esa confianza en los clientes, si en algo podemos ayudar los que estamos en las academias regionales seria buena idea.