Hace unos cuantos posts comentaba los diferentes requisitos que formaban el PCI DSS (Payment Card Industry Data Security Standard) y diferentes empresas (no españolas) que habían tenido algún problema o que habían implantado correctamente el estándar.
Según el artículo <<PCI DSS 3.2: What You Need To Know>>[1] con la nueva versión 3.2 del estándar PCI DSS hay grandes cambios que afectan a todas la organizaciones:
- Se requiere una autenticación multifactor para el acceso administrativo a cualquier sistema dentro o conectado al entorno de datos de titular de la tarjeta (Cardholder Data Environment, CDE), incluso al incorporarse desde una red corporativa. Es decir, además de una contraseña, cualquier persona que intente acceder al sistema deberá presentar alguna otra forma de identificación.
- Se requiere el monitoreo de integridad de archivos o algún tipo de solución de detección de cambios que incluye todos los sistemas conectados del CDE. Actualmente, muchas organizaciones no cuentan con tecnología de monitoreo de integridad de archivos en terminales de puntos de venta o en estaciones de trabajo administrativo.
- La gestión del cambio es un área de creciente preocupación para el Consejo de Normas de Seguridad dado que las organizaciones tienen que documentar cuidadosamente todos los cambios a los sistemas dentro del alcance. Este documento debe demostrar que se han aplicado los controles tras la implementación y que existen medidas correctivas por si fueran necesarias.
Por otro lado, los proveedores de servicios tienen un mayor escrutinio.
- La supervisión de los controles debe ser capaz de detectar fallos y deben existir procesos de soporte que documenten como corregirlos
- Los proveedores de servicios deben asignar a un miembro de la gerencia ejecutiva para que sea el encargado de proteger el CDE.
- Hay que realizar revisiones operativas trimestralmente de los procesos operativos incluyendo registros diarios, reglas de firewall, estándares de configuración, alertas de seguridad y procedimientos de administración de cambios.
- Los proveedores de servicio deben de proporcionar a los auditores una descripción documentada de la arquitectura criptográfica utilizada en el CDE. Esto deberá incluir todos los algoritmos, protocolos y/o claves utilizados para la protección de los datos del titular de la tarjeta, incluida la solidez de la clave.
Dado que esta versión del estándar ha sido publicada en Mayo de 2018 es de esperar que todas las empresas se hayan adecuado para cumplirlo. Sabemos que diferentes empresas lo han conseguido pero, ¿lograremos dar con datos de España? Efectivamente, existen empresas españolas o elegidas por algún tipo de Gobierno Español que tengan la certificación PCI DSS.
Un ejemplo de la importancia de este estándar lo podemos encontrar en un concurso público que recientemente ha lanzado el Ayuntamiento de Barcelona[2]. Este concurso se basaba en realizar un servicio para el pago por teléfono de tasas y multas. El ganador del concurso público ha sido la empresa Quality Telcom con su servicio PayByCall. Quality Telcom es una empresa especializada en soluciones de software para el pago telefónico de productos y servicios y, para generar dicho servicio, se ha creado la aplicación PayByCall.
Según la página oficial de este servicio[3], los datos de la tarjeta se introducirán mediante datación DTFM, a través del teclado del teléfono. Los datos de la tarjeta no se almacenan en ningún momento, se envían directamente mediante petición segura con el banco, que es quien devuelve la autorización para proceder con el cambio.
Esta aplicación dota con la certificación PCI nivel 1, el más alto nivel de seguridad posible por lo que cabe considerar que todas las transacciones se realizan dentro de un entorno seguro de pago.
Buscando diferentes empresas españolas que fueran PCI DSS compilant, he encontrado la empresa Idiso. Esta compañía ha conseguido el estándar PCI DSS para el sector turístico, dado que se trata de una compañía hostelera. Durante más de cinco años ha conseguido superar la auditoría anual para obtener dicha certificación. La compañía hotelera Idiso ofrece una solución llamada Idiso Booking Engine que ayuda a los hosteleros a cubrir sus necesidades de venta y ofrecer un servicio innovador y seguro. Además, optimizan los ingresos de los hoteles ofreciendo garantías de la mejora continua basándose en la experiencia de compra y la innovación con la última tecnología entre otras cosas[4]. En la siguiente imagen podemos conocer de forma gráfica algunos de los resultados que han obtenido en un estudio en 2015 sobre el fraude financiero.
[1] <<PCI DSS 3.2: What you need to know>> KnowledgeLeader, acceso el 18 de noviembre, https://www.knowledgeleader.com/knowledgeleader/resources.nsf/description/HIPCIDSS32%E2%80%93WhatYouNeedtoKnow/$FILE/HI%20PCI%20DSS%203.2%20%E2%80%93%20What%20You%20Need%20to%20Know.pdf
[2] <<Barcelona utilizará el servicio PayByCall de Quality Telecom para el pago telefónico de tasas y multas>>, comunicae.es, acceso el 18 de noviembre, https://www.comunicae.es/nota/barcelona-utilizara-el-servicio-paybycall-de-1197187/
[3] <<Pay by Call, la solución segura de pago telefónico>> Pay by call company, acceso el 18 de noviembre, http://www.paybycall.es/
[4] <<Idiso Booking Engine>> idiso company, acceso el 18 de noviembre, https://www.idiso.com/soluciones/idiso-booking-engine/
cristina.mayor
Latest posts by cristina.mayor (see all)
- Smart cities - 17 enero, 2019
- En busca de mi elemento predominante - 26 diciembre, 2018
- Una opinión personal sobre el estándar PCI DSS - 26 noviembre, 2018
Muy bien, curioso y con datos nacionales. Este post debería haber sido para los controles, pero quizás te adelantaste y los mencionaste en el post 2 … vamos a ver cómo va el 5.
(no descuides la calidad del texto, ortografía y demás)