Como ya se ha comentado en el post anterior, existen empresas que han sufrido vulnerabilidades referentes al pago mediante tarjeta online. Seg煤n M.V. Kuzin[1] un estudio realizado por el equipo de riesgos de Verizon en conjunto con el Servicio Secreto de los Estados Unidos de Am茅rica observaron que:
- Se hab铆an comprometido 3,88 millones de elementos de datos
- El 96% de esos datos datos comprometidos se refiere a los datos de las tarjetas de pago
- En cuanto a los ataques descubrieron que el 43% no requirieron herramientas especiales para piratear, otro 49% se asoci贸 con el uso de ciertos m茅todos y herramientas, y solo en el 8% de los casos se usaron conocimientos especiales y recursos de computaci贸n significativos
- El 89% de las organizaciones que procesaron y almacenaron datos de tarjetas de pago en el momento de la pirater铆a no cumpl铆an con los requisitos del est谩ndar de la industria de datos de tarjetas PCI DSS (Norma de seguridad de datos de la industria de tarjetas de pago), y el 11% s铆.
Adem谩s, el estudio revel贸 ciertos datos que pueden resultar curiosos como poco. En primer lugar, el haber pasado la auditor铆a de PCI DSS no quiere decir que se sigan cumpliendo las normativas del mismo, solo informa que en el momento s铆 que las cumpl铆an.
Por otro lado mostr贸 que las empresas ya no cumpl铆an con los requisitos de PCI DSS, aunque s铆 que lo hab铆an hecho en el momento de pasar la auditor铆a.
Finalmente, extrajo las siguientes dos conclusiones principales:
- La norma o est谩ndar no es suficiente para proteger los datos del titular de la tarjeta, y cumplir con sus requisitos no proporciona actualmente una seguridad adecuada;
- La norma o est谩ndar desplaza la carga de responsabilidad por fraude en lugar de evitar que los datos se vean comprometidos.
Una vez vistos datos reales creados por instituciones con credibilidad, te paras a pensar 驴cu谩les son entonces los riesgos a los que te enfrentas al pagar con tarjeta?
Si bien la mayor铆a de los riesgos de la implementaci贸n de PCI DSS son generados en al implementaci贸n de c贸digo que las empresas realizan, seg煤n se puede leer en el art铆culo de Danial Clapper y William Richmond[2], existen varios 聽otros riesgos relacionados con PCI DSS, muchos de ellos generados por el no cumplimiento del mismo. Uno de los 聽riesgos que mencionan en el art铆culo es el riesgo al robo de la informaci贸n del usuario que realiza una transacci贸n. Para reducir este riesgo, proponen adherirse al Payment Card Industry Data Security Standard (PCI DSS). En general, las empresas peque帽as no entienden la seguridad de la tecnolog铆a de la informaci贸n y, por tanto, algunas de ellas suelen tener brechas de seguridad.
Adem谩s, no solo puede haber robos de datos, tambi茅n podr铆a darse el caso de acabar con p茅rdida de datos de los clientes, lo que no solo acabar铆a con una mala reputaci贸n de la empresa si no que acarrear铆a en compromisos legales por no haber contemplado esos casos con anterioridad.
Para poder tener una mayor control de los riesgos que puedan ser generados con PCI DSS, desde la p谩gina oficial de PCI [3] dentro de los requisitos que proponen, m谩s concretamente en el punto 6.1, obliga a las organizaciones a establecer un proceso para identificar vulnerabilidades de seguridad, utilizando fuentes acreditadas e informaci贸n actualizada sobre vulnerabilidades, es decir, organizaciones deben llevar a cabo una exploraci贸n de vulnerabilidades, al menos en los servidores que est谩n en el 谩mbito de la regulaci贸n PCI. Para ello, habr谩 que hacer una gesti贸n de riesgos siguiendo los siguientes puntos:
- Establecer un contexto. El equipo de riesgos tiene que comprender los par谩metros internos y externos para poder hacer una evaluaci贸n de los riesgos.
- Identificaci贸n de activos. Los activos pueden ser algo de valor para la organizaci贸n. En cuanto a PCI DSS, los activos incluyen las personas, procesos y tecnolog铆as que participan el el procesamiento, almacenamiento transmisi贸n y protecci贸n de los datos.
- Identificaci贸n de las amenazas. Las amenazas pueden incluir personas, los sistemas que utilizan y las condiciones en las que 茅stos se encuentran. La organizaci贸n deber谩 ayudar al evaluador de riesgos a mostrarle d贸nde se encuentran potencialmente las amenazas.
- Identificaci贸n de las vulnerabilidades. Una vulnerabilidad es una debilidad que puede ser explotada por una amenaza y puede venir tanto de la tecnolog铆a, la organizaci贸n, el medio ambiente o una empresa. En la evaluaci贸n de riesgos todas las vulnerabilidades deben de ser consideradas (p.ej. vulnerabilidades que pueden ocurrir como resultado del desarrollo, dise帽o y/o implementaci贸n software)
Este post lo voy a finalizar mostrando una imagen. En 茅sta se recoge un resumen m谩s exhaustivo de las amenazas, vulnerabilidades, riesgos e impactos.
Referencias:
[1] M. V. Kuzin. (2011). PCI DSS: Security Standard and Security in Fact.聽Bezopasnost使 Informacionnyh Tehnologij,聽18(4), 120-125
[2] Clapper, Danial, and William Richmond. 芦Small Business Compliance with PCI DSS.禄聽Journal of Management Information and Decision Sciences聽19, no. 1 (2016): 54-67. [pdf carpeta ACCSI_Volumes]
[3] PCI Security Standard Council, Information Supplement: PCI DSS Risk Asessment Guidelines, noviembre 2012, acceso el 11 de noviembre de 2018, https://www.pcisecuritystandards.org/documents/PCI%20SSC%20Quick%20Reference%20Guide.pdf
cristina.mayor
Latest posts by cristina.mayor (see all)
- Smart cities - 17 enero, 2019
- En busca de mi elemento predominante - 26 diciembre, 2018
- Una opini贸n personal sobre el est谩ndar PCI DSS - 26 noviembre, 2018
Este punto 芦La norma o est谩ndar desplaza la carga de responsabilidad por fraude en lugar de evitar que los datos se vean comprometidos.禄 creo que es muy interesante y te propongo que le dediques unos minutos en tu presentaci贸n personal. Esta es una experiencia compartida con tus colegas, estoy segura,
Cuidado al escribir, cuidado con la calidad del texto, faltas simples, y dem谩s.
Y si, ya veo que has cumplido con lo pedido gracias a la tabla :-)) que maneja los impactos, que es lo que es interesante ver en un post dedicado a los riesgos…
Bien!