IoT sí, pero IoT segura

Download PDF

Y llegamos al último Post de la asignatura. Que rápido han pasado estos meses. ¿Y de que puedo hablar en este Post? Bueno pues me parece apropiado tratar algunos aspectos, que a mi entender son esenciales en el mundo de Internet of Things (IoT). Por supuesto que IoT trae consigo grandes avances y aspectos positivos que seguramente cambien nuestro concepto de las cosas, pero debemos estar alerta y no dejar a un lado todo el universo de riesgos que esto implica. Con esto no quiero ser alarmista pero es algo que creo que es importante tratar y que seguramente nos ayude a visualizar nuevos enfoques de la materia y a nuestro aprendizaje, que para eso estamos cursando un máster.

Bueno pues IoT es un concepto que nos rodea, pero que ha surgido sin hacer demasiado ruido. Desde luego la prensa y los medios de comunicación están haciendo eco actualmente, a pesar de ser un concepto con relativa antigüedad (los expertos datan su aparición entre los años 2008 y 2009). Podemos leer noticias relativamente recientes que señalan que, en los próximos años, será algo esencial en la sociedad y nos hablan de porcentajes y porcentajes de implantación en las empresas y en la industria. Y seguramente tengan toda la razón, pero como esto se descontrole… se puede liar una muy gorda.

IoT implica una sociedad hiperconectada, en la que cualquier dispositivo estará conectado a través de Internet, de manera que convertirán nuestra actividad diaria en información, se distribuirá dicha información por la red e interactuaran con ella. Esto implica un incremento del número de dispositivos interconectados, por ello es necesario considerar la necesidad de establecer acciones de seguridad que prevengan de intrusiones no autorizadas y el uso de ellos como origen de ataques. ¿Qué tipo de riesgos implica IoT? Fundamentalmente estos:

  • Interferencia en la privacidad ya que la información recogida, procesada y almacenada puede tener un fin ilícito.
  • Proliferación de tecnologías que traen consigo un incremento de fallos al interconectar dispositivos con tecnológicas incompatibles y en consecuencia incremento de costes para las organizaciones.
  • Inexistencia de estándares de fabricación segura.
  • Recogida de datos no autorizada que pone en riesgo los derechos de los ciudadanos en cuanto al acceso y uso de sus datos debido a que no siempre se usan de forma autorizada y consentida.

Junto con estos riesgos, debemos ser conscientes de los escasos mecanismos de protección disponibles en estos entornos. Debido a esto, el rol de los reguladores actualmente es fundamental. La complejidad del ecosistema IoT hace necesario el establecimiento y cumplimiento de una normativa que vele por los intereses tanto de las organizaciones como de los usuarios que, ya sea voluntaria o involuntariamente, participan en la recopilación y tratamiento de información de todos estos dispositivos. Pero bien es cierto, que la implantación de esta regulación debe afectar lo menos posible al desarrollo y avance de dichas tecnologías.

Además, la participación de cada uno de los gobiernos será clave, ya que puede generar una mayor sensación de seguridad y confianza a los consumidores. El usuario debe percibir que la información personal extraída por cada dispositivo conectado, será utilizada en su favor y no en su contra, además de aportarle valor. Esta claro que si los usuarios no ofrecen la confianza a este tipo de tecnologías por los riesgos que conllevan, todas las previsiones relacionadas con IoT probablemente no se cumplirán y desde luego su implantación en la sociedad será mucho más lenta y costosa.

En conclusión y para finalizar este Post, es importante destacar que el desarrollo de IoT supone un avance en la sociedad bastante notable. Algunos se atreven a decir que probablemente sea la cuarta revolución industrial. Lo que no cabe duda es que las posibilidades de IoT son inimaginables ya que tendremos a nuestro alcance información de prácticamente todo. Y la información como bien es sabido, es poder. Pero no podemos dejar a un lado todos los riesgos que ello conlleva. Sin una regulación apropiada, el usuario no sentirá la confianza necesaria para aceptar estas nuevas tecnologías. Tanto la privacidad como la seguridad, afectan directamente en este aspecto, y sin confianza, el usuario no está dispuesto a ofrecer su información, y sin información IoT deja de tener sentido. Por lo tanto, desarrollemos tecnologías IoT, pero que sean IoTs seguras y generen una sensación de seguridad en cada uno de los usuarios que las utilicen.

Ha sido un placer escribir estos Posts para la asignatura. Saludos amigos.

El difícil arte de la simplicidad

Download PDF

Como nos gusta complicarnos a las personas, si todo es mucho más simple. El gran Albert Einstein decía “Todo tiene que ser tan simple como sea posible pero no más simple”. Son palabras un tanto misteriosas, pero en el fondo, el sentido de la frase nos transmite el equilibrio de la simplicidad. Si imaginamos una línea, y en la derecha situamos lo muy complejo y en la izquierda lo más sencillo, podemos definir un punto en el centro donde se sitúa el equilibrio. No necesariamente tiene que estar en el centro, en función de la complejidad o facilidad de la tarea, puede variar.

Sin embargo, a veces no es tan fácil discernir si una tarea es más compleja que otra. Y es que, en la mayoría de veces, hacer las cosas simples requiere un gran esfuerzo. Con lo rápido que se mueve la sociedad y la avalancha de información que disponemos, es fácil complicarse la vida a la hora de tomar decisiones.

Vamos a pensar en la simplicidad relacionada con el liderazgo. Todos los grandes directivos de las empresas, jefes de equipo, gentes, deben de tener la simplicidad como una cualidad permanente. Normalmente se tiende a pensar que algo complicado de realizar, tiene más mérito que algo sencillo, ya que requiere de mayor esfuerzo y trabajo. Los humanos somos una raza que tenemos una innata tendencia a complicarlo todo. Pero es necesario destacar que hacer las cosas simples no significa que se hagan fáciles. Se trata más bien de encontrar la mejor manera de llevar a cabo un proyecto, modelo de negocio o proceso que facilite las cosas tanto para el cliente como para la organización.

Además, los líderes apasionados por la simplicidad, hacen organizaciones con ambientes de trabajo más dinámicos, sin dejar de lado las exigencias propias del trabajo. Ya lo decía Steve Jobs: “Lo simple puede ser más difícil que lo complejo. Hay que trabajar duro para aclarar las ideas y para hacer que lo pensado sea simple. Pero vale la pena una vez se consigue, ya que puede mover montañas”. Es por ello que el sello que caracteriza a Apple es la simplicidad, no solamente a nivel de producto, sino también en otros aspectos fundamentales como la comunicación y el marketing. Cuando Apple lanza un nuevo producto, es capaz de comunicarlo de una manera sencilla, por eso llega a tanta gente.

Lo mismo sucede con los sistemas de información. Es básico y fundamental diseñar un sistema usable y simple. No solo porque será más sencillo de implantar, sino porque la curva de aprendizaje será menor para los usuarios, y estos le darán más valor al producto. Está claro que el usuario que dedique más tiempo del esperado o establecido para poder aprender o utilizar un sistema, no valorará la importancia de este y su utilidad. Incluso será reacio a utilizarlo y muy difícilmente se sentirá a gusto con el sistema. Por ello también es fundamental el feedback del usuario, ya que puede ayudar a la compañía, en la búsqueda de esa simplicidad.

Por ello, aplicaciones tan conocidas como Whatsapp, Spotify o Netflix, tienen tanto éxito entre los usuarios. No solo proporcionan un servicio al usuario, sino que son tan sencillos e intuitivos de utilizar, que son todo un éxito de descargas. Y no solo eso, cualquier funcionalidad añadida en versiones posteriores, no debe de ser excesivamente compleja, ya que corre el riesgo de echar por tierra la simplicidad que caracterizaba a dicho sistema.

Como podemos observar, la simplicidad es una cualidad en cualquier ámbito. Desde el liderazgo de equipos y personas, la comunicación y marketing o el desarrollo y usabilidad de un sistema, la simplicidad debe imperar. En el momento en que cualquier tarea o procedimiento se convierta en más complejo de lo que debería, es necesario pararse a pensar en cómo lo estamos haciendo, y simplificar los elementos que sean prescindibles. Tenemos que ponernos en la piel de la persona que es miembro de nuestro equipo, de aquel cliente potencial o del usuario que ya utiliza nuestro sistema. No será una fácil seguramente, pero vamos a intentar hacerle la vida más sencilla y más fácil porque nos lo agradecerá.

ISO 27001 y futuro de PCI DSS

Download PDF

Como todo en la vida tiene su fin, este es el último Post relacionado con PCI DSS. La verdad es que la experiencia ha sido positiva. ¿Y de qué voy a hablar hoy? Bueno ahora lo comprobareis.

En primer lugar, me gustaría realizar una comparativa entre dos estándares que comparten muchas similitudes y ciertas diferencias. Uno de ellos está claro, se trata de PCI DSS, ¿pero cuál es el otro?, pues ni más ni menos que la ISO 27001. Empezamos viendo alguna diferencia en su definición.

PCI DSS es un estándar aplicado únicamente a la seguridad de los datos de las tarjetas de crédito, y es únicamente aplicable a las compañías que procesas, almacenan y transmiten estos datos. Además, este estándar es de obligatorio cumplimiento en función del volumen de transacciones efectuadas. En cambio, ISO 27001 es un estándar internacionalmente reconocido, que regula el establecimiento de sistemas de gestión de la seguridad de la información. Es decir, puede ser aplicado en cualquier organización, y su implementación es opcional, por lo que no es obligatorio [1].

Como he comentado en Posts anteriores, PCI DSS está compuesto por 12 requerimientos fundamentales. ISO 27001 aborda siete grandes áreas: organización, liderazgo, planificación, soporte, operación, evaluación y mejora. Además, PCI cuenta con cuatro niveles de certificación, en función del número de transacciones de la compañía. En la Tabla 1 podemos ver como cada uno de los requerimientos de PCI DSS se relaciona con algunas cláusulas de la ISO.

Tabla 1: Mapeo entre los requerimientos PCI DSS y las cláusulas de ISO 27001.

Y es que estos dos estándares son perfectamente compatibles y se pueden implementar en cualquier compañía. De hecho, ISO 27001 ofrece mayor flexibilidad debido a que posee controles de alto nivel, de manera que muchas compañías se decantan por implantar ISO 27001 si no operan específicamente con datos de tarjetas de crédito. Si además comparamos los costes de implantación de ambos estándares, ISO 27001 supone de media unos 150 mil dólares, en cambio PCI DSS puede suponer un gasto de hasta 700 mil dólares. Y no solo eso, los plazos de auditoría son diferentes para cada estándar. Para renovar la certificación de ISO 27001 se elabora una auditoría cada 3 años, aunque anualmente se elaboran pequeñas auditorias de seguimiento. En el caso de PCI, para cumplir el nivel más alto de certificación, se elabora una auditoria anualmente para renovarla, y trimestralmente una auditoría de escaneo de la red [2].

Y el futuro ¿Qué nos deparará? ¿Se seguirán utilizando las tarjetas de crédito o utilizaremos otros medios de pago? Bueno realmente el futuro es muy difuso. En los últimos 50 años se ha generado una tendencia a desplazar el dinero en efectivo, tomando cada vez más relevancia el uso de las tarjetas de crédito. Con el inicio de la nueva era digital y la aparición del e-commerce, han surgido nuevas formas de pago como el pago móvil o tecnologías como Bitcoin, que a su vez pueden ir desplazando el uso de las tarjetas. A pesar de ello, los expertos sugieren que el uso de las tarjetas continuaría a corto plazo, ya que los pagos denominados pequeños, por ejemplo, una consumición en un bar, se hacen cada vez más por medio de tarjetas y móviles, en lugar de dinero en efectivo. A largo plazo podría cambiar esta tendencia, ya que el sector de pagos móviles empieza a tener mayor peso. A sí mismo, los clientes que necesitan crédito para financiar sus compras pueden recurrir a las soluciones de préstamo que empiezan a ofrecer los puntos de venta, de manera que no solo los usuarios, sino que también los comerciantes salen beneficiados, para aumentar la escala de su negocio y acceder a nuevas fuentes de ingresos en forma de interés.

Todas estas innovaciones pueden erosionar los volúmenes de tarjetas de crédito, amenazando a los modelos de negocio. Es por ello que el estándar PCI DSS deberá seguir fiel a sus principios de evolución, y adaptarse a las nuevas formas de pago. Por ello veo necesario que no solamente abarque procedimientos y requerimientos exclusivos de manejo de datos de tarjetas de crédito. Creo que debería abarcar las nuevas posibilidades existentes, ya que existe la posibilidad de que los nuevos medios de pago sustituyan a las tarjetas de crédito, de manera que dicho estándar dejará de tener sentido. Es más, en ese escenario, la ISO 27001 probablemente tenga mucho más sentido aplicarla, porque al tratarse de un estándar más genérico, en cuanto a que no trata específicamente del manejo de datos de tarjetas de pago, y de más alto nivel, las posibilidades de adaptación a los nuevos tiempos son mucho más sencillas que para PCI DSS, además de que es más sencilla su implantación y más barata [3].

Pero bueno en el futuro iremos viendo lo que sucede y cómo evoluciona PCI DSS, del que esperemos siga siendo un estándar de referencia en el mundo de los medios de pago. Y como decía el famoso periodista y presentador Luis Mariñas, “Así son las cosas y así se las hemos contado”.


Referencias

[1] “Planning for and Implementing ISO 27001”: http://www.isaca.org/Journal/archives/2011/Volume-4/Pages/Planning-for-and-Implementing-ISO27001.aspx

[2] “ISACA Journal edición Enero/Febrero 2016”: http://www.isacajournal-digital.org/isacajournal/2016_volume_1?folio=51&pg=53#pg53

[3] “The future of PCI” : http://www.sfgnetwork.com/blog/payment-processing/the-future-of-pci/

Profundizando en el mundo de PCI DSS

Download PDF

Cuando hablamos de estándares en cualquier ámbito de la tecnología, nos referimos no solamente a requisitos o reglas que se deben cumplir, sino también a controles y riesgos que afectan a la seguridad de todos los componentes, tanto software como hardware, que utiliza cualquier sistema de información.

Y como el tema escogido ha sido el estándar PCI DSS, del que llevo hablando durante un tiempo en las entradas de este blog, en este post profundizaré en los controles y procedimientos de dicho estándar:

  • Requisito 1: Instalar y mantener una configuración de firewall que proteja los datos asociados a las tarjetas de crédito.
    • Instalar un firewall para cada conexión a internet (en todos los dispositivos) y entre cualquier DMZ (Desmilitarized Zone) y para cada red interna.
    • Configurar todos los firewalls con una descripción de los grupos responsables de las componentes de la red, justificando cada servicio, protocolo y puerto utilizado.
    • Revisar la configuración del firewall al menos una vez cada seis meses comprobando el cumplimiento de la política de configuración.
    • Configurar los routers de manera que bloqueen las conexiones entre las partes no confiables y los datos asociados a las tarjetas.
    • Asignación de un responsable que compruebe los registros del firewall diariamente.
  • Requisito 2: Cambiar las contraseñas y parámetros de seguridad por defecto que establece el fabricante.
    • Desarrollar estándares de configuración para todos los componentes del sistema que aborden todas las vulnerabilidades y sean consistentes con las definiciones aceptadas por la industria.
    • Mantener un listado de componentes que estén dentro del alcance del PCI DSS.
  • Requisito 3: Protección de los datos asociados a las tarjetas de crédito.
    • Limitar el almacenamiento de datos del titular de la tarjeta y el tiempo de retención de los datos, tal y como se especifica en la política de seguridad.
    • Establecer una máscara PAN (mostrar los seis primeros y los últimos cuatro dígitos del número de cuenta), de modo que solo las personas autorizadas puedan ver el PAN (número de cuenta) completo.
    • Documentar e implementar procedimientos para proteger las claves utilizadas para el cifrado de los datos del titular de la tarjeta.
  • Requisito 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas.
    • Utilizar criptografía robusta y protocolos seguros como TLS, SSH o IPSec para salvaguardar los datos sensibles durante la transmisión de los mismos.
  • Requisito 5: Protección de los sistemas contra malware y actualizar regularmente el software antivirus.
    • Implementar un software antivirus en todos los sistemas que puedan ser afectados por software malintencionado. También se deben realizar evaluaciones periódicas para comprobar la evolución de las amenazadas.
    • Asegurarse de que todos los mecanismos antivirus se mantengan actualizados, realizando exploraciones periódicas y generando registros de auditoría.
  • Requisito 6: Desarrollo y el mantenimiento de sistemas y aplicaciones seguros.
    • Establecer un proceso para identificar vulnerabilidades de seguridad.
    • Proteger todos los componentes del sistema mediante parches de seguridad suministrados por el proveedor en el plazo máximo de un mes desde su lanzamiento.
    • Seguir los procedimientos de control de cambios para todos los cambios en las componentes del sistema.
    • Asegurarse de que todas las aplicaciones web estén protegidas contra ataques conocidos. Realizar una evaluación de la vulnerabilidad de las aplicaciones al menos una vez al año e instalar una solución técnica automatizada que detecte y prevenga de ataques web.
  • Requisito 7: Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa.
    • Limitar el acceso a los componentes del sistema y los datos del titular de la tarjeta.
    • Establecer un sistema de control de acceso para componentes del sistema basado en la necesidad del usuario, que permita mostrar únicamente lo estrictamente necesario.
  • Requisito 8: Identificar y autenticar el acceso a los componentes del sistema.
    • Definir e implementar políticas y procedimientos para asegurar una gestión adecuada de la identificación del usuario. Además, asignar a todos los usuarios, un nombre de usuario único.
    • Implementar autenticación multifactor para todos los accesos remotos.
    • Todo acceso a BD que contenga datos del titular de tarjeta debe estar restringido, salvo a los administradores con permisos específicos.
  • Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta.
    • Utilizar controles de entrada a las instalaciones para limitar y monitorear el acceso físico.
    • Distinguir fácilmente entre personal y visitantes.
    • Asegurarse de que todos los visitantes están autorizados a antes de entrar en áreas sensibles. Además, utilizar un registro de visitantes y conservar dicho registro por lo menos durante tres meses.
    • Almacenar las copias de seguridad de medios en un lugar seguro.
    • Proteger los dispositivos que capturan los datos de la tarjeta a través de interacción física.
  • Requisito 10: Rastrear y supervisar todos los accesos a los recursos de red y a los datos del titular de la tarjeta.
    • Implementar pistas de auditoría automatizadas para los componentes del sistema.
    • Registrar toda la información recopilada tras el proceso de auditoría.
    • Implementar controles para adquirir, distribuir y almacenar los tiempos críticos del sistema.
    • Revisar todos los registros y eventos de seguridad para identificar anomalías.
  • Requisito 11: Probar con regularidad los sistemas y procesos de seguridad.
    • Implementar procesos para probar la presencia de puntos de acceso inalámbricos no autorizados.
    • Ejecutar exploraciones de vulnerabilidades de red interna y externa trimestralmente y después de cada cambio en la red.
    • Utilizar técnicas de detección de intrusiones en la red o prevención.
    • Implementar un mecanismo de detección de cambios.
  • Requisito 12: Mantener una política que aborde la seguridad de la información para todo el personal.
    • Establecer, publicar, mantener y difundir una política de seguridad y revisarla anualmente.
    • Implementar un proceso de evaluación de riesgos que se lleve a cabo una vez al año.
    • Asegurar que la política y procedimientos de seguridad definen claramente las responsabilidades de seguridad.

Cada uno de los requerimientos tiene varios controles y procedimientos asociados, mediante los cuales, y a través de la auditoría de QSA, una empresa puede obtener la certificación PCI DSS de Nivel 1 acorde con la versión 3.2. Aplicando adecuadamente cada control y verificando su aplicación periódicamente, se puede conseguir cierto nivel de seguridad en relación a los datos de los titulares asociados a cada tarjeta, ofreciendo confianza al consumidor y contribuyendo al crecimiento del estándar.


 

Referencias

PCI DSS Quick Reference Guide: https://www.pcisecuritystandards.org/documents/PCIDSS_QRGv3_1.pdf

“A Guide to PCI DSS 3.2 Compilance: A Dos and Don’ts Checklist”: https://blog.varonis.com/a-guide-to-pci-dss-3-2-compliance-a-dos-and-donts-checklist/

Norma de seguridad de datos: Requisitos y procedimientos de evaluación de seguridad Version 3.2: https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2_3_es-LA.pdf

 

El estándar PCI DSS más cercano

Download PDF

En mi anterior post, nombré algunas empresas extranjeras que habían aplicado el estándar PCI DSS y además, en algunos casos, habían sufrido ataques en sus sistemas de pago dejando en entredicho la eficacia del estándar. Pero ahora nos preguntamos, ¿realmente se utiliza este estándar en España? ¿Y qué empresas lo utilizan? Vamos a ver algunos ejemplos de aplicación más cercanos a nosotros.

A nivel nacional, la empresa Claranet fue pionera en España en obtener la certificación PCI DSS 3.0 de Nivel 1, en el año 2014. Esta empresa creada en el año 1996, es un proveedor de servicios cloud, hosting y redes para empresas de sectores como viajes, ocio, educación, logística, marketing y e-commerce. Dicha certificación la consiguió, gracias al cumplimiento de los requisitos 9 y 12 del estándar, los asociados a la seguridad de acceso físico y al mantenimiento de una política de seguridad de la información [1].

Posteriormente otras empresas nacionales han ido adquiriendo la certificación de dicho estándar. Telefónica en el año 2009, Ia distribuidora de servicios hoteleros Idiso en el año 2010 [2] o la plataforma de pagos NetPlus de Indra en el 2014 [3] son ejemplos de empresas que han conseguido la certificación PCI DSS en nuestro país.

A pesar de que obtener la certificación PCI DSS pueda ser un punto a favor de la empresa, con respecto a la confianza de sus actuales y potenciales clientes, no todas las certificaciones se hacen públicas. VISA es la marca que mantiene la lista de empresas proveedores de servicios certificadas. En el caso de los comercios, no existe ninguna lista pública de empresas auditadas y solo reciben petición de sus ROC (Report On Compilance) por parte de las entidades adquirientes.

¿Y cómo se cumple con la normativa PCI DSS? ¿Qué requisitos definen el nivel de seguridad apropiado para cada empresa? Esta distinción ser realiza en función del volumen de transacciones y el modo de procesamiento de la información de las mismas. Vamos a comentar los niveles superficialmente:

  • Nivel 1: Dos distinciones. La primera, si se ha sufrido un ataque en el que se han comprometido los datos de las tarjetas; la segunda, si se superan un determinado número de transacciones en función del proveedor: más de 6 millones de transacciones VISA, MASTER o DISCOVER, más de 2,5 millones de transacciones AMEX o más de 1 millón de transacciones JCB. Además, es obligatorio someterse a una auditoría anual realizada por un QSA que elaborará un ROC para remitir al proveedor de tarjetas.
  • Nivel 2: Entre 1 y 6 millones de transacciones VISA, MASTER o DISCOVER, entre 50000 y 2,5 millones de transacciones AMEX o menos de 1 millón de transacciones JCB. Si se cumple este nivel, no es obligatorio someterse a una auditoría, aunque es necesario responder un cuestionario de evaluación SAQ (Self-Assessment Questionnaire).
  • Nivel 3:  Entre 20000 y 1 millón de transacciones VISA, MASTER o DISCOVER o menos de 50000 transacciones AMEX.
  • Nivel 4: El único requisito es rellenar el SAQ, aunque es recomendable realizar un escaneo trimestral de red para asegurar el nivel de seguridad [4].

¿Pero quién certifica realmente el cumplimiento del estándar? En otras palabras, ¿Quién o qué empresas son QSA en España? Desde la página oficial de PCI DSS, nos ofrecen una lista de todas las entidades que ofrecen este servicio y son válidas [5]. La primera empresa española en conseguir esta homologación fue Internet Security Auditors. A ella se le suman las siguientes:

  • A2 Secure.
  • Atos Consulting.
  • Internet Security Systems.
  • S21SEC Gestion.
  • SIA Grupo.
  • Verizon/CyberTrust.

Otra empresa homologada y reseñable, principalmente por su proximidad, sería ITS (Integrated Technology Systems), una empresa consultora y auditora situada en Mendaro, Guipúzcoa.

Un ejemplo reciente de renovación de la certificación PCI DSS, es la empresa Sipay Plus. Está empresa española de pasarela de pagos, ha obtenido hace apenas dos meses y por tercera vez consecutiva, la certificación de Nivel 1 de la última versión de PCI DSS, la versión 3.2. La auditoría que se le aplicó, fue llevada a cabo por A2 Secure, convirtiéndo de esta manera a Sipay Plus, en la primera empresa española de pasarela de pagos en obtener el máximo cumplimiento en materia de seguridad, en todas sus soluciones.

En conclusión, como podemos ver, existen evidencias de que el estándar PCI DSS se está aplicando en un ámbito más cercano a nosotros. En nuestro país existen tanto empresas que han sido certificadas por el cumplimiento del estándar, como empresas que juegan el papel de QSA y auditan y certifican a las anteriores. Por lo que, las empresas españolas están al día en cuanto a la aplicación y cumplimiento del estándar PCI DSS relativo a la seguridad de los datos asociados a tarjetas de crédito.


 

Referencias

[1] “Claranet obtiene la certificación PCI DSS 3.0 como proveedor de hosting y colocation”: https://www.claranet.es/about/news/proveedor-hosting-colocation-pci-dss-3-compliant.html

[2] “Idiso obtiene la Certificacion PCI DSS” : http://www.idiso.com/es/idiso-obtiene-la-certificacion-pci-dss.html

[3] “Indra obtiene la certificación de seguridad PCI DSS”: http://www.europapress.es/portaltic/empresas/noticia-indra-obtiene-certificacion-seguridad-pci-dss-20140312155253.html

[4] “¿Esta tu negocio preparado para cumplir la normativa PCI DSS?” : http://innovation.es/pci-dss/

[5] Qualified Security Assesors : https://www.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors

La realidad de PCI DSS

Download PDF

Continuando con la idea del anterior Post, me parece apropiado tratar la realidad de los estándares, en mi caso PCI DSS (Payment Card Industry Data Security Standard). Como todo estándar, y PCI DSS no es una excepción, define un conjunto de normas o directrices que definen aspectos de un área determinada. Pero indudablemente un estándar no es una ley que, si se aplica, se debe cumplir y si no habrá sanciones o multas. Para nada, simplemente son recomendaciones.

En líneas generales la normativa que rige PCI DSS está basada en los siguientes aspectos [1]:

  • Desarrollar y mantener una red segura, instalando y una configuración de firewall para proteger los datos del titular de la tarjeta y utilizando contraseñas de sistemas y otros parámetros de seguridad diferentes a los utilizados por defecto por los proveedores.
  • Proteger los datos del titular de la tarjeta de crédito, mediante el cifrado durante la transmisión de los mismos a través de redes públicas abiertas.
  • Mantener un programa de administración de vulnerabilidad, gracias a software antivirus y el desarrollo de código seguro para las aplicaciones.
  • Implementar medidas solidas de control de acceso, a través de restricciones de acceso a los datos según la necesidad de la empresa y asignando un ID exclusivo a cada persona que tenga acceso mediante un ordenador, además de restringir el acceso físico.
  • Supervisar y evaluar las redes con regularidad, mediante el rastreo y supervisión de todos los accesos a los recursos de la red y los datos.
  • Mantener una política de seguridad de la información.


Cada empresa que utiliza datos relacionados con las tarjetas de pago, es importante que siga las líneas generales del estándar PCI DSS, ya que, en gran manera, le garantiza cierto nivel de seguridad. De hecho, está comprobado, que las empresas que cumplen con PCI DSS, han conseguido minimizar en un porcentaje alto, el riesgo de pérdida o robo de los datos. Y no solo eso, sino que, cumplir con el estándar y que el QSA (Qualified Security Assessors) verifique dicho cumplimiento, proporciona cierto nivel de reputación a la empresa y la convierte en una compañía de confianza para los consumidores.

Un ejemplo reciente de empresa que cumple con PCI DSS es BlackMesh, que obtuvo el nivel 1 de certificación en el año 2015. Para las compañías que cumplen con el estándar, reunir los requisitos mínimos para obtener esta certificación, valida la seguridad de los procesos de pago de los sistemas e incrementa la protección de los datos de los titulares de las tarjetas [2].

En cambio, casos como el de la compañía Home Depot son muy significativos. Esta compañía, en el año 2014, fue víctima de un ciberataque, que permitió el acceso a datos de tarjetas de pago de 50 millones de usuarios de su sistema y que le supuso unas pérdidas de 19 millones de dólares [3]. Lo más llamativo de este caso, es que esta empresa cumplía con el estándar PCI DSS y tras el ataque, se comprometió a mejorar la seguridad de sus datos durante un periodo de dos años y a contratar a un especialista en seguridad, encargado de supervisar dichas mejoras.

Situaciones como la de Home Depot produce una sensación de vulnerabilidad en el resto de empresas que están cumpliendo el estándar y puede generar cierta alarma y confusión sobre cómo se están haciendo las cosas. Y, por consiguiente, son muchos los detractores y críticos que se pronuncian en contra del estándar. La mayoría de ellos opinan que, desde su creación, el estándar está orientado a la protección tanto de bancos como de proveedores de tarjetas de pago, de la responsabilidad que cae sobre ellos ante la pérdida o robo de los datos, dejando de lado a los comerciantes, que son los que realmente tiene que afrontar la situación. Una noticia de apenas 15 días, anunciaba que el proveedor de telas Vera Bradley, había sufrido un ataque en sus sistemas de pago, y algo muy significativo, la empresa no contaba con los mecanismos de detección apropiados y fue el FBI quien descubrió el problema y lo comunicó a la empresa [4].

Tal y como indican los expertos, los ataques no se hacen sobre un solo sistema, sino que se realizan en serie sobre múltiples vendedores, haciendo más difícil su detección. Además, cualquier punto en el ecosistema de pagos esta potencialmente en riesgo. Y es que sea cual sea el tamaño de la compañía, desde un minorista hasta grandes compañías están en riesgo. Podemos añadir más casos significativos a los anteriores, como los ataques a la cadena de comida rápida Wendy, al minorista de ropa Eddie Bauer y las cadenas de hoteles Hilton, Trump, Hutton, etc.

Por ello cada versión mejorada del estándar, en cierta manera es un alivio. Por ejemplo, en su última versión, se introdujo una novedad importante, como es la autenticación multifactor para cualquier usuario con permisos de administración de datos asociados a tarjetas, algo ya demandado por algunos expertos en seguridad. En versiones anteriores, este tipo de autenticación era necesaria únicamente en el acceso remoto a los datos, por lo que la seguridad de acceso no era la más apropiada [5].

El CTO de PCI SSC, Troy Leach, señala “El funcionamiento del estándar, siempre está acorde con los nuevos requerimientos en seguridad”. La evolución del estándar es muy sencilla: cada nuevo requisito definido, primeramente, se introduce como una buena práctica, de manera que las empresas se pueden ir preparando para adaptarse al cambio, y posteriormente, en la siguiente versión ya se introduce como una norma [5 bis].

En conclusión, sabemos que el estándar PCI DSS ayuda a las empresas a mantener los datos de los titulares de tarjetas de pago seguros y que obtener una certificación de su uso y aplicación, otorga cierto nivel de confianza por parte del consumidor, pero que desde luego casos como el de Home Depot, nos abren los ojos y nos hacen darnos cuenta de que nunca es suficiente, y que incluso los estándares no contemplan todas las posibilidades y riesgos que existen en los sistemas.


 

Referencias

[1] PCI DSS v3.0 Normas de seguridad de datos: https://es.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/en/docs/PCI_DSS_v3.pdf

[2] “BlackMesh Achieves PCI DSS Level 1 Certification”: http://search.proquest.com/docview/1735954442?OpenUrlRefId=info:xri/sid:primo&accountid=14529

[3] “Home Depot settels consumer lawsuit over big 2014 data breach” (Océano): http://www.reuters.com/article/us-home-depot-breach-settlement-idUSKCN0WA24Z

[4] “Retailed Vera Bradley: Payments System Hacked”: http://www.databreachtoday.com/retailer-vera-bradley-payments-system-hacked-a-9449

[5] “PCI DSS 3.2: The evolution continues”: http://www.csoonline.com/article/3083106/data-protection/pci-dss-3-2-the-evolution-continues.html

Motivación y optimismo, la mejor medicina

Download PDF

Haga de cada fracaso un peldaño de la escalera que le llevará al éxito”. Es una frase pronunciada por John C. Maxwell, escritor, orador y coach especializado en el liderazgo. Pensemos por un momento en todas las situaciones negativas que nos pueden pasar en la vida. La pérdida de un ser querido, el diagnóstico de una enfermedad grave, una ruptura sentimental, perder un trabajo, etc. Son situaciones verdaderamente difíciles, que marcan nuestras vidas y que en ningún momento podemos prever. Sin embargo y a pesar de las circunstancias, como todo en la vida, tienen un lado positivo.

Si cada vez que en nuestra vida nos encontrásemos una situación parecida, no supiéramos ver el lado positivo y salir de ella, sería imposible continuar adelante para afrontar nuevas situaciones y no solo eso, las personas que están en nuestro entorno también se verían afectadas y el mundo se nos caería encima. A pesar de ello, como somos seres sociables y nos apoyamos mutuamente, somos capaces de superar todo obstáculo que se interponga en nuestro camino. Pero para ello necesitamos motivación.

El diccionario de Real Academia Española de la Lengua define el término motivar como “influir en el ánimo de alguien para que proceda de un determinado modo”. Pero la motivación por sí sola no funciona, debe ir de la mano de su compañero de viaje, el optimismo. Es muy importante saber gestionar ambos aspectos ya que si alguno de los dos falla, el otro tampoco se sostiene. Y esto mismo se puede trasladar al ámbito de las empresas.

Cualquier directivo en una empresa tiene que ser capaz de gestionar, no solamente un equipo de personas, sino las circunstancias que rodean al equipo, y transmitir motivación y optimismo. Siempre habrá tareas que no gusten a todo el mundo, o proyectos que sean muy repetitivos que hasta a él mismo no le agraden. Pero en todo momento debe ser capaz de gestionar y transmitir optimismo y motivación. Aunque a veces lo más fácil es cerrarse en el despacho, dar órdenes, realizar seguimientos, echar broncas y salir puntual para no dedicar un minuto de más a la empresa. Pero entonces esa persona no es un líder, sino que se convierte en un jefe tradicional. Y convertirse en jefe genera desconfianza, desmotivación y falta de compromiso en el resto de integrantes del equipo.

En la situación opuesta, cuando tanto motivación como optimismo están presentes, junto con una buena planificación estratégica, las cosas funcionan mejor. Todo el personal de la empresa acude a su trabajo cada día con ganas de aportar lo mejor de si mismo. Además, simplemente marcando unas directrices generales a partir de las cuales se alcancen los objetivos, todos ellos se pueden lograr. Para llevar a cabo un seguimiento efectivo, únicamente bastará con establecer reuniones periódicas, en la que los miembros del equipo muestren su progreso y en el caso de que algo no funcione, los demás miembros aportarán ideas de mejora y el director podrá redistribuir el trabajo para que todas las tareas vayan al día. A sí mismo, las decisiones tomadas por el líder serán fruto del consenso de todos los participantes de la reunión, por lo que se tomarán como propias y se generará un entorno de compromiso y responsabilidad.

En el caso de que alguno de los miembros del equipo no adquiera el compromiso general, no podrá ser partícipe del proyecto y por lo tanto no se integrará adecuadamente en el funcionamiento del equipo. Si se produce esta situación, el líder deberá escuchar los argumentos de la persona y tratar de persuadirle, siempre desde una perspectiva de comprensión y actitud positiva, para encauzar la situación. Si no lo consigue y la persona no se integra adecuadamente en el equipo, no podrá participar en el proyecto común.

Otra circunstancia posible puede ser el fracaso del proyecto, en cuyo caso, el director deberá reunirse con todos los miembros del equipo para analizar el porqué del fracaso. Esta circunstancia servirá como lección para futuros proyectos, siempre evaluando los errores cometidos desde una perspectiva positiva y manteniendo ese espíritu de motivación hacia los demás.

En conclusión, como todo en la vida, una decisión puede ser errónea, una planificación puede estar mal hecha y un proyecto puede fracasar, pero siempre se puede sacar algo de lo que aprender. Para conseguir un objetivo o alcanzar una meta, con optimismo y motivación se podrá alcanzar sin problema ninguno, y la satisfacción general del grupo será un aspecto que fortalecerá y cohesionará al equipo de trabajo, de tal forma que todos: empresa, directivos, empleados y clientes, saldrán beneficiados.

PCI DSS: Un aliado frente al ciberfraude

Download PDF

¿Cómo es posible que estés en tu casa y puedas reservar un hotel en la playa sin levantarte del sofá? ¿Cómo puedo ver el catálogo de productos de una marca de ropa y comprar un artículo introduciendo simplemente los datos de la tarjeta y sin firmar ningún resguardo? Son cuestiones que se plantean las personas mayores, como nuestros abuelos o incluso nuestros padres, que desconocen el mundo de la informática o que tienen nociones muy básicas sobre ella. No es sencillo explicárselo y que lo entiendan, pero pueden vivir sin comprenderlo, aunque ven el mundo tecnológico con cierta desconfianza, sobre todo a la hora de facilitar algunos datos personales necesarios en situaciones determinadas que los requieren, como por ejemplo, los datos asociados a sus tarjetas de pago en compras por Internet.

Desde los inicios de la humanidad, las personas se han visto obligadas a establecer relaciones económicas entre ellas para poder satisfacer sus necesidades básicas. Primero fue el trueque o intercambio de productos. Siglos más tarde llegó la moneda y el valor del dinero, y posteriormente mecanismos de pago más modernos como las tarjetas de crédito y débito. Con la llegada de Internet y de los ordenadores personales, primero las grandes multinacionales y después las pequeñas y medianas empresas, vieron la necesidad de anunciarse y promocionarse a través de ella. Poco después el comercio electrónico, las redes sociales, las comunicaciones móviles, los teléfonos inteligentes, etc, lo han vuelto a cambiar todo y se ha generado un abanico de posibilidades inimaginable hace unos pocos años.

Pero todo tiene su parte negativa. Los delincuentes han sabido adaptarse a los nuevos tiempos. Los primeros sistemas de pago conectados a Internet e implantados en tiendas virtuales eran muy básicos y sus mecanismos de seguridad muy precarios. Esta situación fue aprovechada por los ciberdelincuentes para apropiarse de millones de datos asociados a las tarjetas de pago con las que se habían efectuado transacciones. Dicho fraude supuso enormes pérdidas para las principales compañías que daban soporte a dichos sistemas de pago. Por lo que en el año 2006 Visa, MasterCard, American Express, Discover y JCB International formaron un comité denominado PCI SSC (Payment Card Industry Security Standards Council) para abordar el problema y definir una guía que ayudara a las organizaciones que procesan, almacenan y transmiten datos asociados a tarjetas de pago, con el fin de asegurar dichos datos y evitar los fraudes. Dichas directrices se aplicarían a todas las entidades involucradas en el procesamiento de las tarjetas de pago, incluyendo comerciantes, procesadores, adquirientes, emisores y proveedores de servicios. Fruto de estas directrices se definió la primera versión del estándar PCI DSS (Payment Card Industry Data Security Standard).

De acuerdo con el Privacy Rights Clearinghouse, más de 234 millones de registros con información sensible, han sido violados desde enero de 2005. El almacenamiento de datos sensibles sin las medidas de seguridad oportunas, expone a las empresas en mayor medida al fraude y a la piratería, de manera que aumenta el riesgo de tener que pagar miles de euros en daños y perjuicios al titular de la tarjeta afectado. Cumpliendo con el estándar PCI DSS, las empresas pueden disminuir en cierta medida dicho riesgo.

El PCI SSC cuenta con auditores autorizados conocidos como QSA (Qualified Security Assessor) que son los encargados de verificar periódicamente el cumplimiento del estándar PCI DSS por parte de las empresas que gestionan datos relacionados con las tarjetas de pago.

A lo largo de varios años, el PCI SSC ha hecho un trabajo encomiable en la definición y evolución de un conjunto coherente de normas, así como escuchar y adaptarse con el tiempo al feedback aportado por los comerciantes, bancos, proveedores de servicio y proveedores de tecnología” señala Derek Brink, vicepresidente de la compañía Aberdeen Group. Y seguramente tenga razón ya que, durante los últimos 10 años, dicho comité ha sabido adaptarse a los nuevos tiempos. De hecho, actualmente el estándar PCI DSS se encuentra en su versión 3.2 y continúa recibiendo actualizaciones.

La aplicación del estándar PCI DSS se trata de un proceso continuo de mejora en el que: primero se evalúan todos los procesos de negocio para analizar posibles vulnerabilidades que podrían exponer los datos de los titulares de las tarjetas; segundo, se presentan los registros de validación e informes de conformidad al banco adquiriente y a la compañía de tarjetas involucrada y finalmente se resuelven las vulnerabilidades y no se almacenan los datos de los titulares de la tarjeta a no ser que sea necesario.

Algunas empresas piensan el PCI DSS es un estándar difícil de aplicar y que requiere un esfuerzo enorme. Pero si se hace el ejercicio mental de imaginar cuáles podrían ser los daños directos y colaterales en caso de robo y/o pérdida de los datos de tarjetas confiados por clientes a una organización,  la posición y opinión respecto al estándar varía. Por otro lado, muchos comercios y proveedores de servicio grandes, medianos y pequeños han implementado de forma satisfactoria el estándar. En algunos de ellos probablemente la complejidad técnica sea más alta que la existente en su organización, pero aún así han realizado un análisis coste/beneficio y se han dado cuenta que es mejor implementar el estándar, que arriesgarse a perder su buena reputación y enfrentarse a multas y acciones legales.

Para concluir con este post me gustaría señalar que, a pesar de todas las medidas que se aplican para mejorar la seguridad en Internet y la legislación tan estricta que existe, lo que realmente suele suceder, es que los ciberdelincuentes siempre van un paso por delante. Con esto no quiero decir que robar datos sensibles y saltarse las leyes sea una tarea sencilla, y que los estándares y las medidas tomadas no sirven para nada. Todo lo contrario, la aplicación de estándares como el PCI DSS, en un ámbito tan sensible como los datos correspondientes a las tarjetas de pago, reduce las vulnerabilidades y riesgos de los sistemas que los gestionan, pero tampoco garantiza la total protección de los datos y correspondientemente de los usuarios, que son los que realmente sufren las consecuencias.

 

Referencias