1

Smart cities

Cada vez se escucha más el término “Smart cities” y es un tema que me parece muy interesante y del que empecé a buscar información a parte del artículo ofrecido para tener una opinión a cerca del tema. Aun así, no estaba muy segura de utilizar este ultimo post de la asignatura para hablar de ello. Sin embargo, el otro día Jesús Fernández en la charla que nos dio en clase nombró el tema y, con ello, me empezó otra vez a dar vueltas por la cabeza. Así que me he dispuesto a hablar de ello.

En resumen, una smart city es, como su nombre bien indica, una ciudad inteligente. En estos entornos, la tecnología se combina con la información y de este modo se proporciona una mejor calidad de vida, se reduce el coste energético y el impacto que los humanos tenemos en el medio ambiente. Escuchándolo así parece que son todo mejoras, que todo son beneficios.

Está bastante claro que las nuevas “Smart cities” prometen muchas cosas, desde la evolución hacia el internet del futuro (o internet de las cosas) hasta proporcionar una mejora del urbanismo pasando por una gestión urbanística automática y más eficiente o una reducción de los gastos para las personas individuales.

Por muy bien que suenen esos aspectos, también hay que considerar las desventajas que dicho aspecto proporciona, comenzando por la inversión que hay que realizar par poder llegar a ese nivel de conexión entre economía, personas, gobierno y medio ambiente hasta el aumento de residuos electrónicos que generaría.

Una vez conocidas a fondo tanto las ventajas y las desventajas y buscado información sobre lo que conllevaría la implementación de las smart cities, he llegado a tener una conclusión personal sobre las mismas.

Por supuesto que yo también pienso que la “creación” de las llamadas smart cities van a suponer una gran ventaja para nuestro mundo, ya no solo a nivel de economía si no a casi cualquier nivel que quieras poner. Va a dejar que seamos más eficientes y, en cierto modo, también pienso que van a dejar que nos sentamos más libres. Posiblemente vamos a acabar siendo más dependientes de la tecnología de lo que somos ahora (que no es poco…) pero posiblemente, también, nos ayuden a superar ciertos baches que aun hoy son inalcanzables.

La verdad es que me gustaría pensar que la tecnologización de las ciudades, la conexión que va a existir entre personas, economía, gobierno y medio ambiente.

En cuanto a lo que las personas se refiere, todas las mejoras a nivel educacional, sanitario y de programas sociales suenan muy prometedoras en sí. En el caso de ser aplicadas creo que van a suponer un buen punto de partida para iniciar una gestión mejor por y para las personas de todo el mundo. El hecho de incluir estos cambios en todas las poblaciones sería algo estupendo.

En cuanto al gobierno se refiere, me da que pensar que lograremos tener una capacitación y una gestión del gobierno mucho más rápida, eficiente y eficaz. Modelos nuevos que nos generen rápidamente las respuestas que queremos, un gobierno más transparente y gestionable. Un gobierno que esté más centralizado y que, además, pueda dar un mejor trato en aquellos países donde sea necesario.

En cuanto a la economía se refiere, pienso que éste es uno de los ámbitos que más beneficiado se va a ver, va a ser una impulsión económica muy fuerte que también, por otro lado, va a haber que saber gestionar. Se van a crear nuevos puestos de trabajo, puestos que aún hoy ni se conocen dado que no se necesitan. Se va a crear una economía más variada, más viva. Además, supongo que, con esto, se mejorarán todos los parámetros de la crisis que actualmente muchos países del mundo sufren (o eso me gustaría pensar).

En cuanto al medio ambiente se refiere, la verdad es que me da bastante miedo. Si que es verdad que con las mejoras que se vana realizar se van a conseguir implantar pueblos o ciudades que contaminen menos, que hagan uso de la energía (por poner un ejemplo) de una manera más controlada gracias a nuevos sensores o redes de comunicación o que se van a poder optimizar los sistemas que ya se tienen. Aun así, pienso que en este punto hay diferentes problemas.  Con el paso del tiempo las tecnologías van cambiando, van mejorando (o al menos eso nos dicen) pero, del mismo modo existe la obsolescencia programada, es decir, que se determine el periodo de vida de un aparato tecnológico. El hacer que la tecnología esté presente en todos los ámbitos (o casi todos) de nuestra vida puede hacer que se genere un residuo tecnológico muy grande por lo que, antes de implantar muchas ciudades inteligentes considero que habría también que hacer un estudio de los residuos que éstas generen.

En conclusión, pienso que las ciudades inteligentes son un progreso para la sociedad, en el caso de que estuvieran bien controladas, pensadas, implantadas y gestionadas. En caso contrario, podrían resaltar en un caos que nos volvieran a llevar a una gran recesión (de nuevo).

Quiero acabar este último post con una última aportación personal: Me gustaría pensar que estas mejoras o adaptaciones no se van a realizar únicamente en las ciudades o territorios más “avanzados” y que, como siempre, los países más pobres lo único que van a poder apreciar es la “basura” que nosotros generamos. No estaría mal que por una vez se pensara en todas las personas que habitan en este mundo, que se le diera a cada persona, pueblo o nación la misma importancia que al resto. Todos estos cambios están a nuestras manos, somos nosotros los que tenemos que dar el primer paso por una sociedad global equitativa, con las mismas oportunidades para todos.

Supongo que habrá que esperar para verlo…




En busca de mi elemento predominante

­A lo largo de este segundo periodo del cuatrimestre se ha hablado sobre los elementos que tienen las personas. Se han hablado de los cuatro elementos (tierra, fuego, agua y aire) de los que cada una de las personas se compone. Mientras se hablaba de este tema, se lanzó una pregunta: ¿Sabes qué elemento predomina en ti? Yo me di cuenta de que no, yo no lo se y, por eso mismo, espero que este post me sirva para encontrar el elemento que predomina en mí o, al menos, lograr acercarme un poco más a saber cuál de todos es.

Parándome a pensar, en diferentes situaciones considero que tengo un elemento u otro y no sabría cómo defender o distinguir qué elemento predomina en mí. Pienso que podría ser agua o tierra, pero en otras situaciones diría que podría ser fuego…

Para poder saber qué elemento predomina en mí, necesito saber primero que significa cada uno de los elementos. Un breve resumen de ello es el siguiente:

  • Fuego: Son pasionales, se encienden en un instante y pueden comenzar un proyecto de un día para otro. Les apasionan las ideas, hablan enérgicamente y quieren que los demás les sigan. Son inconstantes y les cuesta mantener el equilibrio en lo que hacen. Muchas veces no son capaces de ver desde la perspectiva del otro, se adelantan a las cosas y pueden pensar que las ideas de los demás son aburridas. Son líderes por naturaleza.
  • Aire: Esencialmente soñadores, ilusos, creyentes, de pensar bondadoso. Tienen miles de ideas aunque en realidad nunca las llevan a la práctica. Pueden estar pensando en sus ideas y estar planeándolas durante meses sin lograr dar el primer paso para llevarlas a cabo. Grandes creativos, unido con fuego o tierra podrían tener un plan de acción y brindar ideas muy novedosas. Buenos para hablar y crear lazos sociales.
  • Agua: Se amoldan, adaptan y fluyen con lo que venga. Emocionales por naturales, tienen una gran capacidad de unión por los sentimientos. Si no sienten lo que están haciendo perderán la motivación. Ideales para captar el estado de ánimo de los demás ya que las personas generalmente tienden a abrirse con este tipo de personas. Seres que no juzgan y pueden ponerse en el lugar del otro. Como punto negativo tienen el no saber decir que no, les resulta difícil poner límites y muchas veces se “olvidan” de ellos mismos para cumplir con las expectativas de los demás.
  • Tierra: No les gustan los discursos, prefieren la acción y se basan en hechos para medir resultados. Se pueden llevar mal con aire porque les gustan las cosas concretas y no las ideas. Son el único elemento inmóvil de los cuatro por lo que les da solidez, firmeza y fortaleza al resto de los elementos. Pueden resultar testarudos, rígidos y algo fríos y cambiar les cuesta más tiempo. Son el elemento más estable, perseverante y consecuente. Precisan ayuda en la comunicación y aprender a ser pacientes con el tiempo que los demás necesitan en realizar una tarea pero, aun así, son excelentes ejecutores, productores y administradores.

Ahora que ha pasado ya un rato desde que he escrito la clasificación, he pasado cierto tiempo analizándome y analizando los diferentes elementos, creo que tengo una idea más generalizada del elemento que predomina en mí. Antes de decirlo, voy a hacer un resumen de las cosas que he tenido en cuenta:

  • ¿Soy fuego? En un primer momento he pensado que esta podría ser candidato a ser el elemento que predomina en mí dado que considero que soy una persona que cuando se propone terminar una cosa (proyecto, plan,…) lo hace hasta que lo logra. De todos modos, no estoy de acuerdo con lo que pone después. He descartado la opción de ser fuego por el hecho de aunque haya veces que me cueste ver desde las perspectiva de otro, intento en la medida de lo posible hacerlo. Además, me gusta pensar en las ideas que los demás pueden tener porque siempre se puede mejorar lo pensado con las aportaciones de los demás por muy “aburridas” que puedan ser.
  • ¿Soy aire? Siendo sincera, sí que tengo ideas y sueños que nunca realizaré, pero no suelo parar a pensar en cómo poder llevarlas a cabo, son ideas que se me ocurren, pero que “no me quitan el sueño”, es decir, en su momento están ahí pero pasado el momento las ideas se van con ello. Aun teniendo muchas ideas no considero ser aire ya que siempre intento llevar las ideas a lo terrenal, es decir, a algo que sea realizable.
  • ¿Soy agua? Cuanto más he leído las definiciones de diferentes fuentes más he sentido que este elemento es el que más destaca en mí. Soy una persona que se intenta adecuar a las situaciones y si que es verdad que una vez pierdo la “ilusión” por hacer algo que lo dejo un poco de lado e intento hacer las cosas por las que si que tengo ilusión. Por otro lado, si bien es verdad que muchas personas acuden a mi para abrirse, no considero que sea esa persona que se da cuenta rápidamente de los estados anímicos de los demás. Finalmente, si que tengo que admitir que a veces sobrepongo lo que tengo que hacer a lo que quiero hacer, pero no es por lo que los demás piensen de mí.
  • ¿Soy tierra? Al estar leyendo la descripción de este elemento he empezado a pensar que éste también podía ser el que predominaba en mí. Por un lado me ha ‘convencido’ la parte que dice que se basa en hechos para medir resultados y que son estables, perseverantes y consecuentes. Coincido también en la parte de que en ciertos momentos me cuesta adecuarme al tiempo delos demás y de que me gustan las cosas concretas. Sin embargo, discrepo en varios aspectos. El primero de ellos es el que me gusta también contar con ideas ya que son éstas las que acaban en hechos concretos, no considero que cambiar me cueste mucho y, la mayor parte del tiempo, no necesito ayuda en la comunicación aunque sí que dependiendo e la situación, consulto con alguien lo que quiero decir.

Por tanto, a la hora de decir qué elemento es el que predomina en mí me he debatido un rato entre si soy agua o soy tierra dado que he considerado esos los más acertados conmigo.

Me gustaría pensar que soy una mezcla entre el agua y la tierra, que no tengo un único elemento que predomina en mí, pero siempre tiene que haber uno que predomine más que el otro. A la hora de decantarme por uno de los dos, voy a tener en cuenta el parecido que creo tener sobre uno de los dos. Por tanto, me voy a decantar y decir que me considero más tierra que agua por lo que he comentado anteriormente.

Esta decisión no ha sido nada sencilla, de hecho he cambiado el párrafo anterior unas cuantas veces porque no estoy 100% segura de saber cuál es el elemento que predomina en mí, aun así, a día de hoy me voy a mantener firme en la creencia de que el elemento que más predomina en mí es la tierra.




Una opinión personal sobre el estándar PCI DSS

Una vez realizados todos los posts anteriores, ya tengo una idea más amplia de lo que el estándar PCI DSS (Payment Card Industry Data Security Standard) propone y también he observado casos en los que el estar certificado con PCI DSS no ha evitado que ocurran acciones fraudulentas en una empresa. Todo esto me ha hecho pensar en lo que pasa cada vez que hago una compra online y, además, en el estado de las empresas con mayor facturación online en España. Por todo esto, me gustaría centrar este post en una opinión personal (basada en datos reales) sobre lo que ocurre en las compras del día a día.

Con la evolución del internet para poder comprar online casi todo lo que queremos, han surgido diferentes empresas dedicadas casi en exclusiva al comercio online y otras empresas que han evolucionado para vender online lo que ofrecen físicamente en tienda. Mirando diferentes artículos en internet, he encontrado uno que mostraba las empresas con mayor facturación online en España[1].

Encabezando la lista tenemos a Amazon liderando el ecommerce con unas cifras abrumadoras de 1.301 millones de euros facturados en el año 2017. Si bien es verdad que se han encontrado publicaciones[2] en las que se especifica que el servicio Amazon Web Services es PCI DSS compilant, no he llegado a encontrar ninguna publicación que asegure que la página de ecommerce lo sea. Aun así, existe un FAQ[3] en el que afirman que sí es PCI compilant aunque únicamente en los servicios  que ofrecen.

En segundo lugar nos encontramos el eccomerce de El Corte Inglés con ventas por el valor de 684 millones de euros facturados en el año 2017. Haciendo una búsqueda rápida se puede verificar que esta empresa cumple con el estándar gracias a la pasarela de pago ConexFlow que utilizan[4]. Si bien esos datos fueron recogidos en el año 2007, podemos seguir observando en diferentes páginas actualizadas de la empresa[5] que cumplen con el estándar PCI DSS y, además, con el estándar PA DSS (Payment Application Data Security Standard).

En tercer lugar tenemos PC Componentes, con una facturación de 301 millones de euros en el año 2017. Con un vistazo rápido en su web[6], ha sido fácil encontrar que cumplen con el estándar PCI DSS.

En cuarto lugar tenemos la empresa Mediamarkt, con una facturación de 227 millones de euros en el año 2017. Al igual que ha pasado con la empresa anterior, con una simple búsqueda en su página web[7] ha sido suficiente para encontrar que cumplen con el estándar.

Una vez observados estos datos, he cambiado de misión, me he puesto a buscar empresas de cualquier lugar del mundo que han tenido vulnerabilidades. Si es de esperar que estas empresas a nivel nacional cumplan con el estándar, es de esperar que empresas conocidas mundialmente lo sean y, en mi opinión, deberían tener aún más cuidado que empresas nacionales en lo que al ecomerce se refiere.

Echando un vistazo en la página gbhackers[8], ha sido muy fácil encontrar diferentes ejemplos de este problema, ¿cómo he dado con esta página? Muy sencillo, soy una persona a la que le gusta comprar maquillaje, una de las empresas americanas en las que suelo comprar es Tarte. Me he puesto a buscar fallos de esta empresa y, tras encontrarlos[9] he podido observar que este sitio guarda aun más noticias relacionadas con el estándar PCI DSS.

Captura de pantalla 2018-11-25 a las 21.06.18

Actualmente, no existe ninguna ley que regule los pagos realizados en ecommerces y, se puede observar que los problemas que ocurren cuando se implementan mal estas transferencias (o, directamente, no aplicar ningún tipo de control) hace ‘quebrantar’ leyes sobre la protección de los datos de los clientes. Vivimos en un mundo en el que las ventas online incrementan todos los años de manera continuada[9] y en el que el robo de datos está a la orden del día. Estamos en el momento propicio para crear leyes que regulen las compras (y el tráfico en general) online. Hay demasiados antecedentes en este sector como para que se empiecen a tomar medidas inmediatamente.

Si bien es verdad que ‘los malos’ siempre van a existir, ¿no es hora de que ‘los buenos’ les pongan el trabajo aun más difícil? ¿No es hora de empezar a imponer leyes y acciones para proteger los datos de los ciudadanos de este mundo? ¿No es hora de empezar a controlar el tráfico online de una manera más exhaustiva? Yo creo que sí, yo creo que ya va siendo hora de empezar a tomar cartas en el asunto. Desde mi punto de vista, es hora de coger el estándar PCI DSS y redactar una ley (o las que hagan falta) sobre el mismo y obligar a las empresas a que la apliquen como es debido. Es hora de crear sanciones para todas aquellas empresas que apliquen mal el estándar y, aún más severamente, de sancionar a todas aquellas empresas que no acojan las leyes creadas.

 

Referencias:

[1] <<Las cinco tiendas online que más facturan en España>>, Statista, 24 de Noviembre de 2018, https://es.statista.com/grafico/15551/tiendas-online-con-mayor-facturacion-en-espana/

[2] <<Introducción a Amazon Web Services>>, Deloitte, 24 de Noviembre de 2018, https://www2.deloitte.com/es/es/pages/technology/articles/introduccion-a-amazon-web-services.html

[3] <<Is Amazon.com PCI compilant?>>, Quora, 24 de Noviembre de 2018, https://www.quora.com/Is-Amazon-com-PCI-compliant

[4] << Informática El Corte Inglés, primera empresa española en obtener la máxima certificación internacional de seguridad en el pago con tarjetas de crédito>>, El Corte Inglés, 24 de Noviembre de 2018, https://www.elcorteingles.es/informacioncorporativa/es/comunicacion/notas-de-prensa/informatica-el-corte-ingles-primera-empresa-espanola-en-obtener-la-maxima-certificacion-internacional-de-seguridad-en-el-pago-con-tarjetas-de-credito.html

[5] Informática El Corte Inglés, El Corte Inglés, 24 de noviembre de 2018,  https://www.iecisa.com/es/que-hacemos/soluciones/Enhanced-Commerce/

[6] <<Condiciones de tarjetas vinculadas>>, PC Componentes, 24 de noviembre de 2018, https://www.pccomponentes.com/condiciones-paytpv

[7] Atención al cliente, MediaMarkt, 24 de noviembre de 2018, https://specials.mediamarkt.es/atencion-al-cliente

[8] GBHackers on security, GBhackers, 24 de noviembre de 2018, https://gbhackers.com/

[9] <<E-Commerce In 2018: Here’s what the experts are predicting>>, Forbes, 24 de noviembre de 2018, https://www.forbes.com/sites/tompopomaronis/2017/12/15/e-commerce-in-2018-heres-what-the-experts-are-predicting/#1552ddf06deb




Las empresas españolas también aplican el estándar PCI DSS

Hace unos cuantos posts comentaba los diferentes requisitos que formaban el PCI DSS (Payment Card Industry Data Security Standard) y diferentes empresas (no españolas) que habían tenido algún problema o que habían implantado correctamente el estándar.

Según el artículo <<PCI DSS 3.2: What You Need To Know>>[1] con la nueva versión 3.2 del estándar PCI DSS hay grandes cambios que afectan a todas la organizaciones:

  • Se requiere una autenticación multifactor para el acceso administrativo a cualquier sistema dentro o conectado al entorno de datos de titular de la tarjeta (Cardholder Data Environment, CDE), incluso al incorporarse desde una red corporativa. Es decir, además de una contraseña, cualquier persona que intente acceder al sistema deberá presentar alguna otra forma de identificación.
  • Se requiere el monitoreo de integridad de archivos o algún tipo de solución de detección de cambios que incluye todos los sistemas conectados del CDE. Actualmente, muchas organizaciones no cuentan con tecnología de monitoreo de integridad de archivos en terminales de puntos de venta o en estaciones de trabajo administrativo.
  • La gestión del cambio es un área de creciente preocupación para el Consejo de Normas de Seguridad dado que las organizaciones tienen que documentar cuidadosamente todos los cambios a los sistemas dentro del alcance. Este documento debe demostrar que se han aplicado los controles tras la implementación y que existen medidas correctivas por si fueran necesarias.

Por otro lado, los proveedores de servicios tienen un mayor escrutinio.

  • La supervisión de los controles debe ser capaz de detectar fallos y deben existir procesos de soporte que documenten como corregirlos
  • Los proveedores de servicios deben asignar a un miembro de la gerencia ejecutiva para que sea el encargado de proteger el CDE.
  • Hay que realizar revisiones operativas trimestralmente de los procesos operativos incluyendo registros diarios, reglas de firewall, estándares de configuración, alertas de seguridad y procedimientos de administración de cambios.
  • Los proveedores de servicio deben de proporcionar a los auditores una descripción documentada de la arquitectura criptográfica utilizada en el CDE. Esto deberá incluir todos los algoritmos, protocolos y/o claves utilizados para la protección de los datos del titular de la tarjeta, incluida la solidez de la clave.

Dado que esta versión del estándar ha sido publicada en Mayo de 2018 es de esperar que todas las empresas se hayan adecuado para cumplirlo. Sabemos que diferentes empresas lo han conseguido pero, ¿lograremos dar con datos de España? Efectivamente, existen empresas españolas o elegidas por algún tipo de Gobierno Español que tengan la certificación PCI DSS.

Un ejemplo de la importancia de este estándar lo podemos encontrar en un concurso público que recientemente ha lanzado el Ayuntamiento de Barcelona[2]. Este concurso se basaba en realizar un servicio para el pago por teléfono de tasas y multas. El ganador del concurso público ha sido la empresa Quality Telcom con su servicio  PayByCall. Quality Telcom es una empresa especializada en soluciones de software para el pago telefónico de productos y servicios y, para generar dicho servicio, se ha creado la aplicación PayByCall.

Según la página oficial de este servicio[3], los datos de la tarjeta se introducirán mediante datación DTFM, a través del teclado del teléfono. Los datos de la tarjeta no se almacenan en ningún momento, se envían directamente mediante petición segura con el banco, que es quien devuelve la autorización para proceder con el cambio.

Esta aplicación dota con la certificación PCI nivel 1, el más alto nivel de seguridad posible por lo que cabe considerar que todas las transacciones se realizan dentro de un entorno seguro de pago.

Buscando diferentes empresas españolas que fueran PCI DSS compilant, he encontrado la empresa Idiso. Esta compañía ha conseguido el estándar PCI DSS para el sector turístico, dado que se trata de una compañía hostelera. Durante más de cinco años ha conseguido superar la auditoría anual para obtener dicha certificación. La compañía hotelera Idiso ofrece una solución llamada Idiso Booking Engine que ayuda a los hosteleros a cubrir sus necesidades de venta y ofrecer un servicio innovador y seguro. Además, optimizan los ingresos de los hoteles ofreciendo garantías de la mejora continua basándose en la experiencia de compra y la innovación con la última tecnología entre otras cosas[4]. En la siguiente imagen podemos conocer de forma gráfica algunos de los resultados que han obtenido en un estudio en 2015 sobre el fraude financiero.

Infografía-PCI-DSS-3-768x2119

 

[1] <<PCI DSS 3.2: What you need to know>> KnowledgeLeader, acceso el 18 de noviembre,   https://www.knowledgeleader.com/knowledgeleader/resources.nsf/description/HIPCIDSS32%E2%80%93WhatYouNeedtoKnow/$FILE/HI%20PCI%20DSS%203.2%20%E2%80%93%20What%20You%20Need%20to%20Know.pdf

[2] <<Barcelona utilizará el servicio PayByCall de Quality Telecom para el pago telefónico de tasas y multas>>, comunicae.es, acceso el 18 de noviembre,    https://www.comunicae.es/nota/barcelona-utilizara-el-servicio-paybycall-de-1197187/

[3] <<Pay by Call, la solución segura de pago telefónico>> Pay by call company, acceso el 18 de noviembre,    http://www.paybycall.es/

[4] <<Idiso Booking Engine>> idiso company, acceso el 18 de noviembre,   https://www.idiso.com/soluciones/idiso-booking-engine/




Riesgos PCI DSS

 

Como ya se ha comentado en el post anterior, existen empresas que han sufrido vulnerabilidades referentes al pago mediante tarjeta online. Según M.V. Kuzin[1] un estudio realizado por el equipo de riesgos de Verizon en conjunto con el Servicio Secreto de los Estados Unidos de América observaron que:

  • Se habían comprometido 3,88 millones de elementos de datos
  • El 96% de esos datos datos comprometidos se refiere a los datos de las tarjetas de pago
  • En cuanto a los ataques descubrieron que el 43% no requirieron herramientas especiales para piratear, otro 49% se asoció con el uso de ciertos métodos y herramientas, y solo en el 8% de los casos se usaron conocimientos especiales y recursos de computación significativos
  • El 89% de las organizaciones que procesaron y almacenaron datos de tarjetas de pago en el momento de la piratería no cumplían con los requisitos del estándar de la industria de datos de tarjetas PCI DSS (Norma de seguridad de datos de la industria de tarjetas de pago), y el 11% sí.

Además, el estudio reveló ciertos datos que pueden resultar curiosos como poco. En primer lugar, el haber pasado la auditoría de PCI DSS no quiere decir que se sigan cumpliendo las normativas del mismo, solo informa que en el momento sí que las cumplían.

Por otro lado mostró que las empresas ya no cumplían con los requisitos de PCI DSS, aunque sí que lo habían hecho en el momento de pasar la auditoría.

Finalmente, extrajo las siguientes dos conclusiones principales:

  1. La norma o estándar no es suficiente para proteger los datos del titular de la tarjeta, y cumplir con sus requisitos no proporciona actualmente una seguridad adecuada;
  2. La norma o estándar desplaza la carga de responsabilidad por fraude en lugar de evitar que los datos se vean comprometidos.

Una vez vistos datos reales creados por instituciones con credibilidad, te paras a pensar ¿cuáles son entonces los riesgos a los que te enfrentas al pagar con tarjeta?

Si bien la mayoría de los riesgos de la implementación de PCI DSS son generados en al implementación de código que las empresas realizan, según se puede leer en el artículo de Danial Clapper y William Richmond[2], existen varios  otros riesgos relacionados con PCI DSS, muchos de ellos generados por el no cumplimiento del mismo. Uno de los  riesgos que mencionan en el artículo es el riesgo al robo de la información del usuario que realiza una transacción. Para reducir este riesgo, proponen adherirse al Payment Card Industry Data Security Standard (PCI DSS). En general, las empresas pequeñas no entienden la seguridad de la tecnología de la información y, por tanto, algunas de ellas suelen tener brechas de seguridad.

Además, no solo puede haber robos de datos, también podría darse el caso de acabar con pérdida de datos de los clientes, lo que no solo acabaría con una mala reputación de la empresa si no que acarrearía en compromisos legales por no haber contemplado esos casos con anterioridad.

Para poder tener una mayor control de los riesgos que puedan ser generados con PCI DSS, desde la página oficial de PCI [3] dentro de los requisitos que proponen, más concretamente en el punto 6.1, obliga a las organizaciones a establecer un proceso para identificar vulnerabilidades de seguridad, utilizando fuentes acreditadas e información actualizada sobre vulnerabilidades, es decir, organizaciones deben llevar a cabo una exploración de vulnerabilidades, al menos en los servidores que están en el ámbito de la regulación PCI. Para ello, habrá que hacer una gestión de riesgos siguiendo los siguientes puntos:

  • Establecer un contexto. El equipo de riesgos tiene que comprender los parámetros internos y externos para poder hacer una evaluación de los riesgos.
  • Identificación de activos. Los activos pueden ser algo de valor para la organización. En cuanto a PCI DSS, los activos incluyen las personas, procesos y tecnologías que participan el el procesamiento, almacenamiento transmisión y protección de los datos.
  • Identificación de las amenazas. Las amenazas pueden incluir personas, los sistemas que utilizan y las condiciones en las que éstos se encuentran. La organización deberá ayudar al evaluador de riesgos a mostrarle dónde se encuentran potencialmente las amenazas.
  • Identificación de las vulnerabilidades. Una vulnerabilidad es una debilidad que puede ser explotada por una amenaza y puede venir tanto de la tecnología, la organización, el medio ambiente o una empresa. En la evaluación de riesgos todas las vulnerabilidades deben de ser consideradas (p.ej. vulnerabilidades que pueden ocurrir como resultado del desarrollo, diseño y/o implementación software)

Este post lo voy a finalizar mostrando una imagen. En ésta se recoge un resumen más exhaustivo de las amenazas, vulnerabilidades, riesgos e impactos.Captura de pantalla 2018-11-11 a las 22.27.21

 

Referencias:

[1] M. V. Kuzin. (2011). PCI DSS: Security Standard and Security in Fact. Bezopasnostʹ Informacionnyh Tehnologij, 18(4), 120-125

[2] Clapper, Danial, and William Richmond. «Small Business Compliance with PCI DSS.» Journal of Management Information and Decision Sciences 19, no. 1 (2016): 54-67. [pdf carpeta ACCSI_Volumes]

[3] PCI Security Standard Council, Information Supplement: PCI DSS Risk Asessment Guidelines, noviembre 2012, acceso el 11 de noviembre de 2018, https://www.pcisecuritystandards.org/documents/PCI%20SSC%20Quick%20Reference%20Guide.pdf




¿Qué se esconde tras PCI DSS?

Dado que PCI DSS (Payment Card Industry Data Security Standard), como bien su nombre lo indica, es un estándar, se rige por ciertos requisitos aunque, en este caso, dado su carácter (no es obligatorio) estos requisitos son únicamente recomendaciones. Podemos englobar las normas en diferentes categorías: Desarrollar y mantener sistemas y redes seguros, Proteger los datos del titular de la tarjeta, Mantener un programa de administración de la vulnerabilidad, Implementar medias sólidas contra el acceso, Supervisar y evaluar las redes con regularidad y Mantener una política de seguridad de la información. Los requisitos que se engloban en éstas son los siguientes[1]:

  • Instalar y mantener una configuración de firewalls para proteger los datos de los titulares de las tarjetas
  • No utilizar contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores
  • Proteger los datos del titular de la tarjeta que fueron almacenados .
  • Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas.
  • Proteger todos los sistemas contra malware y actualizar los programas o software antivirus regularmente
  • Desarrollar y mantener sistemas y aplicaciones seguras
  • Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa
  • Identificar y autenticar el acceso a los componentes del sistema.
  • Restringir el acceso físico a los datos del titular de la tarjeta
  • Rastrear y supervisar todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas
  • Probar con regularidad los sistemas y procesos de seguridad.
  • Mantener una política que aborde la seguridad de la información de todo el personal

En la siguiente imagen podemos observar la colocación de las restricciones en cada una de las categorías nombradas anteriormente:

capt

 

Con el creciente comercio electrónico, es lógico que las empresas que utilicen pagos online se quieran certificar en el PCI DSS, éste no solo le garantiza un nivel de seguridad si no que, además, le proporciona a la empresa cierta reputación y los usuarios o consumidores de sus productos le otorgan confianza a la empresa.

A la hora de buscar información sobre diferentes empresas que tuvieran dicho certificado me he parado a pensar cómo se consigue dicho certificado y me he puesto a indagar en ello. En un artículo publicado por Medium[2] y la sección de FAQ de CompilanceGuide[3] he encontrado la información que necesitaba.

Todas las empresas que utilizan el sistema de pago online (mediante tarjeta) se ubica en uno de los cuatro niveles definidos por Visa según el volumen de transacciones realizadas en el periodo de un año. El certificado en cada nivel se puede obtener de dos maneras: autoevaluado o mediante        QSA (Qualified Security Assesor). La mayoría de las empresas prefieren la autoevaluación dado que los tiempos y los costes son menores que con QSA. Si bien una empresa nivel 1 debería contratar un QSA, es posible que ésta se pueda autoevaluar rellenando un cuestionario (dependiendo de lo involucrados que estén con los datos éste podría ser: SAQ A, SAQ A-EP o SAQ D). En la siguiente tabla se refleja la relación entre volumen, tipo de evaluación y nivel PCI:

Volumen transacciones

(anuales)

Tipo de evaluación

Nivel PCI

Menos que 2.000 Autoevaluación PCI nivel 4
Entre 2.000 y 1.000.000 Autoevaluación PCI nivel 3
Entre 1.000.000 y 6.000.000 Autoevaluación PCI nivel 2
Más de 6.000.000 QSA PCI nivel 1

Si bien es verdad que he encontrado diferentes empresas que tiene el certificado PCI, la empresa que voy a mencionar que lo tiene es Flutterwave dado que hay un punto que me ha resultado curioso[x]. Muchas empresas han conseguido el estándar PCI, pero, de entre las que he encontrado, Flutterwave es la única que ha renovado su certificación[3] el 23 de Octubre de 2017. Dadas las transacciones que esta empresa realiza, han tenido que certificar un Nivel 1 de PCI.

Mientras buscaba información para este post, me encontré con datos sobre una aplicación llamada Rappi. Ésta es una aplicación que nos permite realizar compras en comercios cercanos. El problema de esta aplicación fue la manera en la que trataban los datos dado que, al no utilizar los mecanismos recomendados por el procesador de pagos, éstos fueron expuestos. Estaban exponiendo las credenciales del lugar en el que se guardaban los datos en el código de la página web y, por tanto, se pudo conocer la información de tarjetas de crédito almacenadas. En consecuencia, se realizaron miles de operaciones fraudulentas. Tardaron 61 días en arreglar el fallo dado que éstos no poseían ninguna persona encargada de solucionar bugs[2].

Me gustaría concluir este post comunicando que, por mucho que se intente regularizar algo, siempre vamos a tener el factor humano “en nuestra contra”. El mayor de los problemas al que una empresa se enfrenta es el factor humano dado que cometemos errores. Antes de realizar cualquier compra online, deberíamos cerciorarnos de que la empresa a la que le estamos comprando tiene la certificación PCI dado que, en caso contrario, se podría dar la situación de acabar siendo nosotros los que nos veamos envueltos en una situación parecida a la de los usuarios de Rappi.

 

Referencias:

[1] PCI Security Standard Council, Requisitos y procedimientos de evaluación de seguridad, noviembre 2013, acceso el 4 de noviembre de 2018, https://es.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/en/docs/PCI_DSS_v3.pdf

[2] Advisability, <<Fallas graves en la seguridad de tarjetas de crédito y credenciales en Rappi>>, Medium, 4 de Noviembre de 2018, https://medium.com/advisability/tarjetas-credito-rappi-714e75166f7a

[3] <<Preguntas frecuetes de PCI>>, CompilanceGuide.org, acceso el 4 de noviembre de 2018, https://www.pcicomplianceguide.org/faq/#4

[x] Flutterwave, <<Flutterwave Renews PCI-DSS Level 1 Certification, 4 de noviembre de 2018, https://medium.com/@theflutterwave/flutterwave-renews-pci-dss-level-1-certification-1b39feda711c

 




Confianza

¿Qué es la confianza? Según la RAE, la confianza es la “esperanza firme que se tiene de alguien o algo” pero, para cada persona, esta palabra tiene un significado diferente.

Desde pequeños aprendemos a confiar en la gente que nos rodea. En algún caso, nos hemos llevado alguna decepción con la gente y creo que ese es el momento en el que empezamos a desconfiar. Empezamos a desconfiar en las intenciones de las personas, en las ideas que cada persona tiene, en las personas en general.

En clase un día hablamos de la confianza, el hecho de que en una relación entre dos personas, la confianza es un 50% de una persona y un 50% de la otra. Además también se comentó el hecho de que una relación de confianza se basa en tres aspectos diferentes: sinceridad, responsabilidad y capacidad o ser competente. Estos aspectos los podemos relacionar tanto en las relaciones cotidianas (o de nuestro entorno) como en las relaciones en las empresas. Aunque a simple vista debería ser una sensación o un sentimiento que habría que percibir de igual manera, en la vida real no es así, o al menos en la mayoría  de los casos.

De este modo, me gustaría hacer una diferenciación de lo que pienso que es la confianza en cuanto a las personas que nos rodean (o nuestro entorno) y en el mundo de las empresas. Finalmente, me gustaría añadir una breve reflexión para dar por concluido el tema.

 

Confianza en el entorno

En cuanto al entorno, la gente que nos rodea, todo el mundo puede pensar en (al menos) una persona (ya sea un familiar o una persona con la que se mantiene una relación de amistad) en la que tiene plena confianza. Puede ser esa persona a la que le cuentas tus problemas, la persona que te viene a la mente cuando tienes alguna preocupación e incluso algún amigo que tenga las llaves de tu casa. Pero, si nos paramos a pensar en cuál fue el momento en el que empezamos a confiar en esa persona, ¿sabríamos decir cuál es?

En lo que a mi respecta, parto de la base de confiar en que, al conocer una nueva persona, ésta no te da ningún motivo para no tener una base de confianza con ella. Será en base a los acontecimientos posteriores en los que se afianzará la confianza o te “demostrarán” que se debe confiar en mayor o menor medida en la persona, pudiendo llegar al punto de desconfiar en la misma.

A mí me gustaría pensar que la gente que comienza a conocerme (véase este año, que he iniciado el máster y, excepto una persona, todos son “desconocidos”) en un primer punto tienen una cierta confianza conmigo, al igual que yo la tengo con ellos. En base a lo que cada persona muestre de sí misma, empezarás a preguntarte a ver si esa persona cumple los tres puntos anteriormente señalados: es sincera, es responsable y es competente y, en base a ello, llegarás a tener una opinión sobre la confianza a depositar en esa persona.

 

Confianza en las empresas

Ahora pensemos al mundo empresarial. Si bien es verdad que idealmente se debería regir la confianza al igual que con las personas de nuestro entorno, en muchos casos no es de este modo. Al ser nuevo en una empresa te puedes encontrar dos situaciones: existe una base de confianza inicial o existen diferentes jerarquías de confianza (relación empleado-empleado o relación jefe-empleado).

El primero de los casos es el que conocemos como el caso ideal dado que en éste va a existir una confianza inicial y, en base a las decisiones que se tomen, se “evaluará” la confianza que existe. Para este caso me gustaría poner un ejemplo. Actualmente me encuentro realizando prácticas en una empresa en la que siento que se me tiene en cuenta o en la que existe cierta confianza en mi persona. A la hora de realizar tareas, tengo mi espacio y mi tiempo para realizarlas y no siento que tengo una presión de seguimiento sobre mí. Además, dentro de esta empresa una de las cosas que más me han asombrado es que, en cualquier momento, si tienes cualquier problema, cualquier persona está más que dispuesto a dejar lo que esté haciendo e intentar ayudarte. Es una empresa en la que siento una gran cercanía y en la que me siento a gusto. En base a lo que yo estoy experimentando, me gustaría pensar que este modelos de trabajo se implanta en las empresas más de lo que yo tengo en mente.

El segundo de los casos es en ése en el que podemos definir dos jerarquías de confianza. En cuanto a la relación empleado-empleado, generalmente se llevará una relación parecida a la especificada en el punto anterior (confianza en el entorno); en cuanto a la relación jefe-empleado, existirá una relación basada en el seguimiento y la desconfianza. En un primer lugar (prolongable hasta dentro de mucho tiempo, quizás para siempre) el jefe no va a confiar en sus empleados y, por tanto, cada X tiempo tendrás que asistir a una reunión de seguimiento en la que tendrás que informar del estado de todas las tareas. Esto hará que se genere un clima de desconfianza muy grande y, seguramente, una sensación de incomodidad a la hora de ir a trabajar. Desde mi punto de vista, este tipo de relaciones fomentan el “yo hago el trabajo por el que me pagan y lo demás me da igual”, es decir, buscar el bien personal olvidándote que trabajas con otras personas. Seguramente este modelo vendrá dado por lo que hemos conocido de pequeños, por le colegio. Lo relaciono muy estrechamente a esos momentos en los que el profesor iba mesa por mesa mirando a comprobar que los deberes estaban hechos. Personalmente, no me gustaría el trabajar en una empresa que siguiera este patrón dado que presiento que no me encontraría a gusto sabiendo que se me está evaluando cada segundo del día porque no haya confianza en que vaya a realizar mi trabajo correctamente.

 

Reflexión

En base a lo que he comentado anteriormente, me gustaría hacer una reflexión sobre el ámbito de la empresa. Hay que tener en cuenta que, obviamente, no todo es blanco o negro, es decir, que no se va a dar un caso o el otro, que existen puntos intermedios. Aun así, me quiero basar en diferentes conceptos.

¿En qué posición te sentirías más a gusto? Me gustaría pensar que todas las personas se sentirían más a gusto en una posición de confianza, en una posición en la que no te sientas preocupado por el estado de las tareas. Si bien es verdad que a la hora de ir a trabajar tienes que realizar tareas etc., por mucho que te empeñes en realizarlas lo mejor posible, siempre habrá un momento de bloqueo. Si te sientes presionado por el resultado, conseguirás realizar la tarea probablemente pero, ¿la finalizarás de la manera que te gustaría realizar tu trabajo o pondrás un “parche” para finalizar la tarea?

¿Cómo te gusta que te traten? En una empresa, bajo mi punto de vista, una de las claves del rendimiento es que los trabajadores se encuentren cómodos a la hora de trabajar, que no se sientan forzados a la hora de desempeñar su trabajo. Hay que tener en cuenta que, a la hora de elegir un nuevo trabajador para la empresa, éste habrá sido evaluado y si ha sido contratado es porque puede realizar el trabajo.

¿Cómo te están tratando? Una vez sabes cómo te gustaría que te trataran tienes que pensar en cómo te están tratando realmente. En el caso en que coincida ¡Felicidades! En caso contrario… te toca pensar: ¿por qué me están tratando así? ¿qué puedo hacer yo para que esto cambie?

Ahora es tú momento. Es el momento en el que tú puedes cambiar las relaciones que existen en el mundo laboral. Es el momento de luchar por todos tus ideales. Ahora es cuando te toca pensar: ¿por qué tipo de relación vas a luchar?




PCI DSS, estándar para combatir el fraude en compras online

En la era en la que vivimos, la mayoría de las personas no suelen pensar en las consecuencias que actos tecnológicos como puede ser la compra online pueden acarrear. Con el paso del tiempo la gente ha ido evolucionando y se va sintiendo más segura a la hora de realizar compras por internet pero, aun así, las vulnerabilidades del pago por internet siguen estando presentes.

Con el comienzo de la era de internet, las diferentes operadoras de tarjetas de crédito ampliaron sus servicios para poder comprar por internet pero no fue hasta octubre de 1999 que Visa aprobó el desarrollo de la primera medida contra el fraude. Esta medida era CISP (Cardholder Information Security Program) y es una de las precursoras del PCI DSS (Payment Card Industry Data Security Standard).

Dado que los mecanismos de seguridad inicialmente implantados eran muy sencillos, Visa y Master Card, entre los años 1988 y 1998, reportaron un total de 750 millones de dólares en concepto de fraude con las tarjetas de crédito. Para poder combatir ese cibercrimen, con el paso de los años se han implantado diferentes medidas de seguridad, entre las que podemos destacar:

  • Diciembre de 2004. Debuta la primera versión de PCI DSS (PCI DSS 1.0). Es un día distintivo en la historia de la seguridad de la información dado que éste es el primer estándar de seguridad unificado respaldado por las cinco principales marcas de tarjetas (Visa, Master Card, JCB, American Express y Discover,). Éstas fundaron el comité PCI SSC (Payment Card Industry Security Standards Council) para proporcionar un foro transparente en el que todas las partes interesadas puedan aportar información para el desarrollo, la mejora y la difusión en curso de las PCI DSS.
  • Septiembre de 2006. Se lanza la versión PCI DSS 1.1. El código de la aplicación personalizado debe revisarse profesionalmente para detectar vulnerabilidades. Es en este punto donde las cinco principales compañías deciden tener un grupo independiente que les audite. Este grupo pasará a ser conocido como QSA (Qualified Security Assessor).
  • Octubre de 2008. Se lanza la versión PCI DSS 1.2. En esta nueva versión se incluyen nuevos requisitos respecto a 802.1x para la protección de redes inalámbricas. Este puede llegar a ser un cambio muy costoso para algunos minoristas.
  • Junio 2010. Se decide que los cambios se van a realizar periódicamente cada tres años en vez de cada dos como hasta el momento.
  • Octubre 2010. Debuta la versión PCI DSS 2.0. Según Ed Moyle, manager senior de CTG, “Esta versión del estándar representa una simplificación del proceso de evaluación, que debería ayudar a aliviar un poco la carga de cumplimiento de las normas PCI DSS”.
  • Noviembre 2013. Debuta la versión PCI DSS 3.0. Se enfatiza la necesidad de evaluaciones internas de vulnerabilidad, agrega flexibilidad a los requisitos de contraseña y resalta la creciente importancia del cumplimiento del proveedor.
  • Abril 2015. Se publica la versión PCI DSS 3.1. Se incluían los cambios a realizar para abordar las vulnerabilidades dentro del protocolo de cifrado SSL (Secure Sockets Layer) que puede poner en riesgo los datos de pago.
  • Abril 2016. Se publica la versión PCI DSS 3.2. Se incluyeron las fechas de migración revisadas para abordar los datos generados con el protocolo SSL.

Ya conocemos los cambios que se han ido realizando en las diferentes versiones del estándar pero, ¿qué es realmente PCI DSS?

PCI DSS es el estándar de seguridad de datos para la industria de  tarjeta de pago y fue desarrollado por el comité PCI SSC como una guía para ayudar a las diferentes organizaciones que procesan, almacenan y/o transmiten datos de titulares de la tarjeta para asegurar los datos con el fin de evitar fraudes. Éste es un proceso continuo de mejora en el que se evalúan los procesos de negocio para poder resolver las vulnerabilidades que se observan en los mismos.

Toda compañía que procese, guarde o transmita cualquier tipo de dato de tarjetas de crédito y débito debe cumplir con lo que los estándares dictaminen o se arriesgan a perder los permisos que tienen para procesar las tarjetas de crédito y débito, auditorías o pagos de multas. No obstante, los proveedores de servicios de tarjetas de crédito y de débito deben ser los que validen el cumplimiento de los estándares.

Esta validación la realizan los auditores autorizados (QSAs). Los QSA son organizaciones de seguridad independientes que han sido calificadas por el consejo de normas de seguridad de PCI.

111111111

Referencias:

The history of the PCI DSS standard: A visual timeline: https://searchsecurity.techtarget.com/feature/The-history-of-the-PCI-DSS-standard-A-visual-timeline

ISACA PCI DSS CC Virtualization Guidelines: https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf

PCI SSC Qualified Security assesors: https://www.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors