Si usted trabaja para una empresa que procesa tarjetas de crédito y débito, ya debe estar familiarizado con las exigencias para cumplir con PCI DSS. El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es una norma de Seguridad de la Información, exclusiva para organizaciones que procesan tarjetas de crédito o débito.
Se trata de una regulación dinámica que se actualiza con frecuencia, de acuerdo al surgimiento de nuevas amenazas de Seguridad o para aclarar cuestiones que generaron confusión en versiones anteriores. La versión 3.2 de PCI DSS fue anunciada en abril de 2016, de modo que muchas empresas se encuentran en plena transición de 3.1 a 3.2. Si bien PCI DSS 3.1 venció en octubre de 2016, todos los requisitos actualizados pasaron a formar parte de las mejores prácticas hasta el 1 de febrero de 2018, cuando se convertirán en obligatorios. Existe solo una excepción: la fecha límite para migrar de SSL y de la anterior TLS, se pospuso hasta junio de 2018.
Estar al día en el cumplimiento de PCI DSS, lo ayudará a evitar costosas multas y a proteger a su empresa de una potencial filtración de datos. A continuación, le explicamos lo que necesita saber para estar listo para PCI DSS 3.2
¿Por qué se actualiza PCI DSS?
La Seguridad Informática evoluciona constantemente para abarcar nuevas tecnologías y amenazas. El PCI Security Standards Council actualiza las regulaciones de PCI DSS para abordar estas nuevas preocupaciones y proporcionar mayor claridad con respecto a los requisitos existentes.
En esta oportunidad, algunos sectores se sorprendieron con el lanzamiento de una versión 3.2, en lugar de una versión 4. Sin embargo, sucede que PCI DSS ya es un estándar lo suficientemente avanzado como para requerir actualizaciones de base, como las que tuvieron lugar en el pasado. Es probable que las futuras modificaciones de PCI DSS también sean graduales.
¿Quién debe cumplir con el nuevo estándar?
Toda organización que procese datos de titulares de tarjetas debe estar atenta al cumplimiento de PCI DDS. Sin embargo, no todos los requisitos de PCI DSS aplican a todas las empresas. Si bien algunos de los cambios de la versión 3.2 abarcan a todas las entidades, varias actualizaciones están destinadas específicamente a proveedores de servicios. El Anexo A3, DESV, se aplica solamente a entidades designadas por las marcas de pago o a adquirientes que necesiten evaluación adicional.
¿Cuáles son las diferencias en PCI DSS versión 3.2?
Si bien se reelaboraron ligeramente muchos requisitos para dar mayor claridad o para tomar en cuenta los cambios en la terminología de la industria, son cinco las actualizaciones principales para las cuales las empresas deben estar preparadas. Las tres que se aplican a todas las empresas son la autenticación multi-factor, la migración de SSL y TLS, y el almacenamiento del número de cuenta primaria (PAN). Si usted es proveedor de servicios o integra la categoría DESV (Validación Suplementaria de las Entidades Designadas), también deberá tener en cuenta otras cuestiones.
Autenticación multi-factor
La protección del acceso administrativo al entorno de datos del titular de la tarjeta (CDE) es fundamental. Independientemente del método utilizado para obtener acceso a una red, el objetivo de un intruso normalmente es encontrar un dispositivo desde el que pueda obtener derechos administrativos. Una vez que los obtiene, puede moverse en toda la red, obteniendo acceso a otros equipos hasta llegar a los datos del titular de la tarjeta. La autenticación multi-factor proporciona protección adicional en los puntos cruciales.
El requisito 8.3 de la versión anterior de PCI DSS establecía que las organizaciones debían incorporar autenticación de doble factor para un acceso remoto que se origine desde afuera de la red. En la versión 3.2, el término “autenticación de dos factores” se cambió por “autenticación multifactor” para establecer la posibilidad de contar con más de dos formas de autenticación. Además, el requisito se amplió para incluir a todos los accesos administrativos individuales sin consola, así como a todos los accesos remotos al CDE. Con este cambio, quienes permitan cualquier clase de acceso sin consola necesitarán autenticación multi-factor, independientemente de si ese acceso es remoto desde la propia red de la organización, o desde el CDE.
Migración de SSL y TLS anterior
La capa de puertos seguros (SSL) apareció en la década de 1990 y creció hasta convertirse en un estándar de seguridad ampliamente aceptado. Sin embargo, ahora se considera que SSL tiene varias vulnerabilidades. En 1999, la versión 3.1 de SSL fue lanzada como seguridad de la capa de transporte (TLS) 1.0. Si bien TLS mejoró la seguridad de SSL, TLS versión 1.0 (y en algunos casos 1.1) ya no es considerada sólida. La versión 3.2 de PCI DSS requiere que las organizaciones se enfoquen en contar con un sólido protocolo criptográfico, que implique al menos TLS 1.1, aunque se recomienda firmemente que sea TLS 1.2.
Esto aplica para algunos requisitos de PCI DSS que exigen sólida criptografía o características adicionales de seguridad como los requisitos 2.2.3, 2.3 y 4.1. La versión 3.2 de PCI DSS exige que todos los proveedores de servicios hayan implementado un servicio seguro para junio de 2016. Otras entidades no deben utilizar SSL ni el anterior TSL en ninguna nueva implementación. Las organizaciones tienen tiempo hasta el 30 de junio de 2018 para incorporar las versiones actuales de TLS sobre las implementaciones existentes. Antes de esa fecha, las implementaciones existentes que utilizan SSL o la anterior TLS deben ejecutar un Plan Formal de Migración y Mitigación de Riesgos.
Cumplimiento de PCI DSS para proveedores de servicios
Los proveedores de servicios tienen un papel fundamental para sus clientes en la protección de datos de los titulares de tarjetas, y las debilidades en sus prácticas de seguridad han sido un factor común de las filtraciones. Según un estudio de Ponemon Institute, casi la mitad de los profesionales especializados en riesgo afirma que su organización experimentó una filtración de datos a causa de uno de sus proveedores. El 73% considera que está aumentando la cantidad de incidentes de seguridad informática que involucran a los proveedores, mientras que el 65% considera que es difícil gestionar los incidentes de seguridad que implican a sus proveedores.
PCI DSS 3.2 presenta varios requisitos nuevos de seguridad para proveedores de servicios, principalmente para aquellos que tengan mayor responsabilidad en la seguridad de sus clientes.
Los proveedores de servicios ahora tendrán que detectar y notificar a los clientes de los sistemas de control de seguridad que presentan fallas críticas. Cada seis meses, deberán realizar una prueba de penetración de terceros, en lugar de hacerlo solo una vez al año, como exigía la versión anterior de PCI DSS. Además, deben realizar revisiones trimestrales de los empleados y sus respectivos accesos al CDE. Finalmente, los proveedores de servicios tendrán también que proporcionar documentación acerca de su arquitectura de encriptación.
Validación Suplementaria de las Entidades Designadas (DESV)
La DESV o Anexo A3 de PCI DSS versión 3.2, aplica solo a entidades designadas por una marca de pago o adquirentes que necesiten validación adicional. Por ejemplo, esto podría ser necesario porque están almacenando y transmitiendo especialmente un gran volumen de datos de titulares de tarjetas de crédito o porque han tenido algún problema en el pasado, como una filtración. Sin embargo, se recomienda que todas las organizaciones sigan los procedimientos detallados.
La DESV pretende que el cumplimiento del estándar PCI DSS se transforme en una práctica continua y no sea una molestia que se deba cumplir para sacar del medio y luego ser olvidada. El estudio más reciente de Verizon acerca del cumplimiento de PCI descubrió que solo el 29% de las empresas sigue cumpliendo el estándar un año después de su validación. Las organizaciones comprendidas por la DESV deben implementar un programa de cumplimiento de PCI DSS y validar que se han incorporado las mejores prácticas de PCI DSS a las actividades comerciales usuales, entre otros requisitos.
¿Cómo afecta PCI DSS 3.2 a la transferencia gestionada de archivos?
Casi todas las organizaciones se ocupan de transferencias de archivos, y si se le exige cumplir con PCI DSS, querrá asegurarse de que está utilizando una solución de transferencia gestionada de archivos que le permita cumplir con la nueva versión de la reglamentación.
¿Qué significa?
En primer lugar, su software de transferencia gestionada de archivos (MFT) debe admitir TLS 1.1 y 1.2 para asegurar el cumplimiento y la actualización de los estándares de cifrado. En segundo lugar, la solución debe admitir seguridad basada en roles con autenticación multifactorial. PCI DSS exige autenticación multifactorial a nivel de la red o a nivel del sistema.
Su empresa quizás esté o no comprendida en la DESV, pero en cualquier caso, debe considerar cómo mantener el cumplimiento de PCI DSS durante todo el año sin sumar demasiado esfuerzo ni tiempo extra a la carga de trabajo de TI. Las sólidas soluciones de MFT agilizan el trabajo proporcionando las características de seguridad y los informes detallados que desean los auditores. Algunos softwares de MFT pueden ayudarlo a verificar fácilmente si sus transferencias de archivos cumplen con PCI DSS.
Si aún no ha implementado una solución de transferencia gestionada de archivos con la última versión 3.2 de PCI DSS, ahora es el momento perfecto. MFT lo ayudará a cumplir con esta versión de PCI DSS y con las futuras actualizaciones también, ya que una buena solución de transferencia gestionada de archivos continuará incorporando características de seguridad para mantenerse a tono con las amenazas vigentes.
¿Su sistema está preparado para una auditoría?
Identifique y priorice las vulnerabilidades en su configuración de Seguridad, para que pueda corregirlas antes de una auditoría.