ISO 27001 y futuro de PCI DSS

Download PDF

Como todo en la vida tiene su fin, este es el último Post relacionado con PCI DSS. La verdad es que la experiencia ha sido positiva. ¿Y de qué voy a hablar hoy? Bueno ahora lo comprobareis.

En primer lugar, me gustaría realizar una comparativa entre dos estándares que comparten muchas similitudes y ciertas diferencias. Uno de ellos está claro, se trata de PCI DSS, ¿pero cuál es el otro?, pues ni más ni menos que la ISO 27001. Empezamos viendo alguna diferencia en su definición.

PCI DSS es un estándar aplicado únicamente a la seguridad de los datos de las tarjetas de crédito, y es únicamente aplicable a las compañías que procesas, almacenan y transmiten estos datos. Además, este estándar es de obligatorio cumplimiento en función del volumen de transacciones efectuadas. En cambio, ISO 27001 es un estándar internacionalmente reconocido, que regula el establecimiento de sistemas de gestión de la seguridad de la información. Es decir, puede ser aplicado en cualquier organización, y su implementación es opcional, por lo que no es obligatorio [1].

Como he comentado en Posts anteriores, PCI DSS está compuesto por 12 requerimientos fundamentales. ISO 27001 aborda siete grandes áreas: organización, liderazgo, planificación, soporte, operación, evaluación y mejora. Además, PCI cuenta con cuatro niveles de certificación, en función del número de transacciones de la compañía. En la Tabla 1 podemos ver como cada uno de los requerimientos de PCI DSS se relaciona con algunas cláusulas de la ISO.

Tabla 1: Mapeo entre los requerimientos PCI DSS y las cláusulas de ISO 27001.

Y es que estos dos estándares son perfectamente compatibles y se pueden implementar en cualquier compañía. De hecho, ISO 27001 ofrece mayor flexibilidad debido a que posee controles de alto nivel, de manera que muchas compañías se decantan por implantar ISO 27001 si no operan específicamente con datos de tarjetas de crédito. Si además comparamos los costes de implantación de ambos estándares, ISO 27001 supone de media unos 150 mil dólares, en cambio PCI DSS puede suponer un gasto de hasta 700 mil dólares. Y no solo eso, los plazos de auditoría son diferentes para cada estándar. Para renovar la certificación de ISO 27001 se elabora una auditoría cada 3 años, aunque anualmente se elaboran pequeñas auditorias de seguimiento. En el caso de PCI, para cumplir el nivel más alto de certificación, se elabora una auditoria anualmente para renovarla, y trimestralmente una auditoría de escaneo de la red [2].

Y el futuro ¿Qué nos deparará? ¿Se seguirán utilizando las tarjetas de crédito o utilizaremos otros medios de pago? Bueno realmente el futuro es muy difuso. En los últimos 50 años se ha generado una tendencia a desplazar el dinero en efectivo, tomando cada vez más relevancia el uso de las tarjetas de crédito. Con el inicio de la nueva era digital y la aparición del e-commerce, han surgido nuevas formas de pago como el pago móvil o tecnologías como Bitcoin, que a su vez pueden ir desplazando el uso de las tarjetas. A pesar de ello, los expertos sugieren que el uso de las tarjetas continuaría a corto plazo, ya que los pagos denominados pequeños, por ejemplo, una consumición en un bar, se hacen cada vez más por medio de tarjetas y móviles, en lugar de dinero en efectivo. A largo plazo podría cambiar esta tendencia, ya que el sector de pagos móviles empieza a tener mayor peso. A sí mismo, los clientes que necesitan crédito para financiar sus compras pueden recurrir a las soluciones de préstamo que empiezan a ofrecer los puntos de venta, de manera que no solo los usuarios, sino que también los comerciantes salen beneficiados, para aumentar la escala de su negocio y acceder a nuevas fuentes de ingresos en forma de interés.

Todas estas innovaciones pueden erosionar los volúmenes de tarjetas de crédito, amenazando a los modelos de negocio. Es por ello que el estándar PCI DSS deberá seguir fiel a sus principios de evolución, y adaptarse a las nuevas formas de pago. Por ello veo necesario que no solamente abarque procedimientos y requerimientos exclusivos de manejo de datos de tarjetas de crédito. Creo que debería abarcar las nuevas posibilidades existentes, ya que existe la posibilidad de que los nuevos medios de pago sustituyan a las tarjetas de crédito, de manera que dicho estándar dejará de tener sentido. Es más, en ese escenario, la ISO 27001 probablemente tenga mucho más sentido aplicarla, porque al tratarse de un estándar más genérico, en cuanto a que no trata específicamente del manejo de datos de tarjetas de pago, y de más alto nivel, las posibilidades de adaptación a los nuevos tiempos son mucho más sencillas que para PCI DSS, además de que es más sencilla su implantación y más barata [3].

Pero bueno en el futuro iremos viendo lo que sucede y cómo evoluciona PCI DSS, del que esperemos siga siendo un estándar de referencia en el mundo de los medios de pago. Y como decía el famoso periodista y presentador Luis Mariñas, “Así son las cosas y así se las hemos contado”.


Referencias

[1] “Planning for and Implementing ISO 27001”: http://www.isaca.org/Journal/archives/2011/Volume-4/Pages/Planning-for-and-Implementing-ISO27001.aspx

[2] “ISACA Journal edición Enero/Febrero 2016”: http://www.isacajournal-digital.org/isacajournal/2016_volume_1?folio=51&pg=53#pg53

[3] “The future of PCI” : http://www.sfgnetwork.com/blog/payment-processing/the-future-of-pci/

Profundizando en el mundo de PCI DSS

Download PDF

Cuando hablamos de estándares en cualquier ámbito de la tecnología, nos referimos no solamente a requisitos o reglas que se deben cumplir, sino también a controles y riesgos que afectan a la seguridad de todos los componentes, tanto software como hardware, que utiliza cualquier sistema de información.

Y como el tema escogido ha sido el estándar PCI DSS, del que llevo hablando durante un tiempo en las entradas de este blog, en este post profundizaré en los controles y procedimientos de dicho estándar:

  • Requisito 1: Instalar y mantener una configuración de firewall que proteja los datos asociados a las tarjetas de crédito.
    • Instalar un firewall para cada conexión a internet (en todos los dispositivos) y entre cualquier DMZ (Desmilitarized Zone) y para cada red interna.
    • Configurar todos los firewalls con una descripción de los grupos responsables de las componentes de la red, justificando cada servicio, protocolo y puerto utilizado.
    • Revisar la configuración del firewall al menos una vez cada seis meses comprobando el cumplimiento de la política de configuración.
    • Configurar los routers de manera que bloqueen las conexiones entre las partes no confiables y los datos asociados a las tarjetas.
    • Asignación de un responsable que compruebe los registros del firewall diariamente.
  • Requisito 2: Cambiar las contraseñas y parámetros de seguridad por defecto que establece el fabricante.
    • Desarrollar estándares de configuración para todos los componentes del sistema que aborden todas las vulnerabilidades y sean consistentes con las definiciones aceptadas por la industria.
    • Mantener un listado de componentes que estén dentro del alcance del PCI DSS.
  • Requisito 3: Protección de los datos asociados a las tarjetas de crédito.
    • Limitar el almacenamiento de datos del titular de la tarjeta y el tiempo de retención de los datos, tal y como se especifica en la política de seguridad.
    • Establecer una máscara PAN (mostrar los seis primeros y los últimos cuatro dígitos del número de cuenta), de modo que solo las personas autorizadas puedan ver el PAN (número de cuenta) completo.
    • Documentar e implementar procedimientos para proteger las claves utilizadas para el cifrado de los datos del titular de la tarjeta.
  • Requisito 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas.
    • Utilizar criptografía robusta y protocolos seguros como TLS, SSH o IPSec para salvaguardar los datos sensibles durante la transmisión de los mismos.
  • Requisito 5: Protección de los sistemas contra malware y actualizar regularmente el software antivirus.
    • Implementar un software antivirus en todos los sistemas que puedan ser afectados por software malintencionado. También se deben realizar evaluaciones periódicas para comprobar la evolución de las amenazadas.
    • Asegurarse de que todos los mecanismos antivirus se mantengan actualizados, realizando exploraciones periódicas y generando registros de auditoría.
  • Requisito 6: Desarrollo y el mantenimiento de sistemas y aplicaciones seguros.
    • Establecer un proceso para identificar vulnerabilidades de seguridad.
    • Proteger todos los componentes del sistema mediante parches de seguridad suministrados por el proveedor en el plazo máximo de un mes desde su lanzamiento.
    • Seguir los procedimientos de control de cambios para todos los cambios en las componentes del sistema.
    • Asegurarse de que todas las aplicaciones web estén protegidas contra ataques conocidos. Realizar una evaluación de la vulnerabilidad de las aplicaciones al menos una vez al año e instalar una solución técnica automatizada que detecte y prevenga de ataques web.
  • Requisito 7: Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa.
    • Limitar el acceso a los componentes del sistema y los datos del titular de la tarjeta.
    • Establecer un sistema de control de acceso para componentes del sistema basado en la necesidad del usuario, que permita mostrar únicamente lo estrictamente necesario.
  • Requisito 8: Identificar y autenticar el acceso a los componentes del sistema.
    • Definir e implementar políticas y procedimientos para asegurar una gestión adecuada de la identificación del usuario. Además, asignar a todos los usuarios, un nombre de usuario único.
    • Implementar autenticación multifactor para todos los accesos remotos.
    • Todo acceso a BD que contenga datos del titular de tarjeta debe estar restringido, salvo a los administradores con permisos específicos.
  • Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta.
    • Utilizar controles de entrada a las instalaciones para limitar y monitorear el acceso físico.
    • Distinguir fácilmente entre personal y visitantes.
    • Asegurarse de que todos los visitantes están autorizados a antes de entrar en áreas sensibles. Además, utilizar un registro de visitantes y conservar dicho registro por lo menos durante tres meses.
    • Almacenar las copias de seguridad de medios en un lugar seguro.
    • Proteger los dispositivos que capturan los datos de la tarjeta a través de interacción física.
  • Requisito 10: Rastrear y supervisar todos los accesos a los recursos de red y a los datos del titular de la tarjeta.
    • Implementar pistas de auditoría automatizadas para los componentes del sistema.
    • Registrar toda la información recopilada tras el proceso de auditoría.
    • Implementar controles para adquirir, distribuir y almacenar los tiempos críticos del sistema.
    • Revisar todos los registros y eventos de seguridad para identificar anomalías.
  • Requisito 11: Probar con regularidad los sistemas y procesos de seguridad.
    • Implementar procesos para probar la presencia de puntos de acceso inalámbricos no autorizados.
    • Ejecutar exploraciones de vulnerabilidades de red interna y externa trimestralmente y después de cada cambio en la red.
    • Utilizar técnicas de detección de intrusiones en la red o prevención.
    • Implementar un mecanismo de detección de cambios.
  • Requisito 12: Mantener una política que aborde la seguridad de la información para todo el personal.
    • Establecer, publicar, mantener y difundir una política de seguridad y revisarla anualmente.
    • Implementar un proceso de evaluación de riesgos que se lleve a cabo una vez al año.
    • Asegurar que la política y procedimientos de seguridad definen claramente las responsabilidades de seguridad.

Cada uno de los requerimientos tiene varios controles y procedimientos asociados, mediante los cuales, y a través de la auditoría de QSA, una empresa puede obtener la certificación PCI DSS de Nivel 1 acorde con la versión 3.2. Aplicando adecuadamente cada control y verificando su aplicación periódicamente, se puede conseguir cierto nivel de seguridad en relación a los datos de los titulares asociados a cada tarjeta, ofreciendo confianza al consumidor y contribuyendo al crecimiento del estándar.


 

Referencias

PCI DSS Quick Reference Guide: https://www.pcisecuritystandards.org/documents/PCIDSS_QRGv3_1.pdf

“A Guide to PCI DSS 3.2 Compilance: A Dos and Don’ts Checklist”: https://blog.varonis.com/a-guide-to-pci-dss-3-2-compliance-a-dos-and-donts-checklist/

Norma de seguridad de datos: Requisitos y procedimientos de evaluación de seguridad Version 3.2: https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2_3_es-LA.pdf

 

El estándar PCI DSS más cercano

Download PDF

En mi anterior post, nombré algunas empresas extranjeras que habían aplicado el estándar PCI DSS y además, en algunos casos, habían sufrido ataques en sus sistemas de pago dejando en entredicho la eficacia del estándar. Pero ahora nos preguntamos, ¿realmente se utiliza este estándar en España? ¿Y qué empresas lo utilizan? Vamos a ver algunos ejemplos de aplicación más cercanos a nosotros.

A nivel nacional, la empresa Claranet fue pionera en España en obtener la certificación PCI DSS 3.0 de Nivel 1, en el año 2014. Esta empresa creada en el año 1996, es un proveedor de servicios cloud, hosting y redes para empresas de sectores como viajes, ocio, educación, logística, marketing y e-commerce. Dicha certificación la consiguió, gracias al cumplimiento de los requisitos 9 y 12 del estándar, los asociados a la seguridad de acceso físico y al mantenimiento de una política de seguridad de la información [1].

Posteriormente otras empresas nacionales han ido adquiriendo la certificación de dicho estándar. Telefónica en el año 2009, Ia distribuidora de servicios hoteleros Idiso en el año 2010 [2] o la plataforma de pagos NetPlus de Indra en el 2014 [3] son ejemplos de empresas que han conseguido la certificación PCI DSS en nuestro país.

A pesar de que obtener la certificación PCI DSS pueda ser un punto a favor de la empresa, con respecto a la confianza de sus actuales y potenciales clientes, no todas las certificaciones se hacen públicas. VISA es la marca que mantiene la lista de empresas proveedores de servicios certificadas. En el caso de los comercios, no existe ninguna lista pública de empresas auditadas y solo reciben petición de sus ROC (Report On Compilance) por parte de las entidades adquirientes.

¿Y cómo se cumple con la normativa PCI DSS? ¿Qué requisitos definen el nivel de seguridad apropiado para cada empresa? Esta distinción ser realiza en función del volumen de transacciones y el modo de procesamiento de la información de las mismas. Vamos a comentar los niveles superficialmente:

  • Nivel 1: Dos distinciones. La primera, si se ha sufrido un ataque en el que se han comprometido los datos de las tarjetas; la segunda, si se superan un determinado número de transacciones en función del proveedor: más de 6 millones de transacciones VISA, MASTER o DISCOVER, más de 2,5 millones de transacciones AMEX o más de 1 millón de transacciones JCB. Además, es obligatorio someterse a una auditoría anual realizada por un QSA que elaborará un ROC para remitir al proveedor de tarjetas.
  • Nivel 2: Entre 1 y 6 millones de transacciones VISA, MASTER o DISCOVER, entre 50000 y 2,5 millones de transacciones AMEX o menos de 1 millón de transacciones JCB. Si se cumple este nivel, no es obligatorio someterse a una auditoría, aunque es necesario responder un cuestionario de evaluación SAQ (Self-Assessment Questionnaire).
  • Nivel 3:  Entre 20000 y 1 millón de transacciones VISA, MASTER o DISCOVER o menos de 50000 transacciones AMEX.
  • Nivel 4: El único requisito es rellenar el SAQ, aunque es recomendable realizar un escaneo trimestral de red para asegurar el nivel de seguridad [4].

¿Pero quién certifica realmente el cumplimiento del estándar? En otras palabras, ¿Quién o qué empresas son QSA en España? Desde la página oficial de PCI DSS, nos ofrecen una lista de todas las entidades que ofrecen este servicio y son válidas [5]. La primera empresa española en conseguir esta homologación fue Internet Security Auditors. A ella se le suman las siguientes:

  • A2 Secure.
  • Atos Consulting.
  • Internet Security Systems.
  • S21SEC Gestion.
  • SIA Grupo.
  • Verizon/CyberTrust.

Otra empresa homologada y reseñable, principalmente por su proximidad, sería ITS (Integrated Technology Systems), una empresa consultora y auditora situada en Mendaro, Guipúzcoa.

Un ejemplo reciente de renovación de la certificación PCI DSS, es la empresa Sipay Plus. Está empresa española de pasarela de pagos, ha obtenido hace apenas dos meses y por tercera vez consecutiva, la certificación de Nivel 1 de la última versión de PCI DSS, la versión 3.2. La auditoría que se le aplicó, fue llevada a cabo por A2 Secure, convirtiéndo de esta manera a Sipay Plus, en la primera empresa española de pasarela de pagos en obtener el máximo cumplimiento en materia de seguridad, en todas sus soluciones.

En conclusión, como podemos ver, existen evidencias de que el estándar PCI DSS se está aplicando en un ámbito más cercano a nosotros. En nuestro país existen tanto empresas que han sido certificadas por el cumplimiento del estándar, como empresas que juegan el papel de QSA y auditan y certifican a las anteriores. Por lo que, las empresas españolas están al día en cuanto a la aplicación y cumplimiento del estándar PCI DSS relativo a la seguridad de los datos asociados a tarjetas de crédito.


 

Referencias

[1] “Claranet obtiene la certificación PCI DSS 3.0 como proveedor de hosting y colocation”: https://www.claranet.es/about/news/proveedor-hosting-colocation-pci-dss-3-compliant.html

[2] “Idiso obtiene la Certificacion PCI DSS” : http://www.idiso.com/es/idiso-obtiene-la-certificacion-pci-dss.html

[3] “Indra obtiene la certificación de seguridad PCI DSS”: http://www.europapress.es/portaltic/empresas/noticia-indra-obtiene-certificacion-seguridad-pci-dss-20140312155253.html

[4] “¿Esta tu negocio preparado para cumplir la normativa PCI DSS?” : http://innovation.es/pci-dss/

[5] Qualified Security Assesors : https://www.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors

La realidad de PCI DSS

Download PDF

Continuando con la idea del anterior Post, me parece apropiado tratar la realidad de los estándares, en mi caso PCI DSS (Payment Card Industry Data Security Standard). Como todo estándar, y PCI DSS no es una excepción, define un conjunto de normas o directrices que definen aspectos de un área determinada. Pero indudablemente un estándar no es una ley que, si se aplica, se debe cumplir y si no habrá sanciones o multas. Para nada, simplemente son recomendaciones.

En líneas generales la normativa que rige PCI DSS está basada en los siguientes aspectos [1]:

  • Desarrollar y mantener una red segura, instalando y una configuración de firewall para proteger los datos del titular de la tarjeta y utilizando contraseñas de sistemas y otros parámetros de seguridad diferentes a los utilizados por defecto por los proveedores.
  • Proteger los datos del titular de la tarjeta de crédito, mediante el cifrado durante la transmisión de los mismos a través de redes públicas abiertas.
  • Mantener un programa de administración de vulnerabilidad, gracias a software antivirus y el desarrollo de código seguro para las aplicaciones.
  • Implementar medidas solidas de control de acceso, a través de restricciones de acceso a los datos según la necesidad de la empresa y asignando un ID exclusivo a cada persona que tenga acceso mediante un ordenador, además de restringir el acceso físico.
  • Supervisar y evaluar las redes con regularidad, mediante el rastreo y supervisión de todos los accesos a los recursos de la red y los datos.
  • Mantener una política de seguridad de la información.


Cada empresa que utiliza datos relacionados con las tarjetas de pago, es importante que siga las líneas generales del estándar PCI DSS, ya que, en gran manera, le garantiza cierto nivel de seguridad. De hecho, está comprobado, que las empresas que cumplen con PCI DSS, han conseguido minimizar en un porcentaje alto, el riesgo de pérdida o robo de los datos. Y no solo eso, sino que, cumplir con el estándar y que el QSA (Qualified Security Assessors) verifique dicho cumplimiento, proporciona cierto nivel de reputación a la empresa y la convierte en una compañía de confianza para los consumidores.

Un ejemplo reciente de empresa que cumple con PCI DSS es BlackMesh, que obtuvo el nivel 1 de certificación en el año 2015. Para las compañías que cumplen con el estándar, reunir los requisitos mínimos para obtener esta certificación, valida la seguridad de los procesos de pago de los sistemas e incrementa la protección de los datos de los titulares de las tarjetas [2].

En cambio, casos como el de la compañía Home Depot son muy significativos. Esta compañía, en el año 2014, fue víctima de un ciberataque, que permitió el acceso a datos de tarjetas de pago de 50 millones de usuarios de su sistema y que le supuso unas pérdidas de 19 millones de dólares [3]. Lo más llamativo de este caso, es que esta empresa cumplía con el estándar PCI DSS y tras el ataque, se comprometió a mejorar la seguridad de sus datos durante un periodo de dos años y a contratar a un especialista en seguridad, encargado de supervisar dichas mejoras.

Situaciones como la de Home Depot produce una sensación de vulnerabilidad en el resto de empresas que están cumpliendo el estándar y puede generar cierta alarma y confusión sobre cómo se están haciendo las cosas. Y, por consiguiente, son muchos los detractores y críticos que se pronuncian en contra del estándar. La mayoría de ellos opinan que, desde su creación, el estándar está orientado a la protección tanto de bancos como de proveedores de tarjetas de pago, de la responsabilidad que cae sobre ellos ante la pérdida o robo de los datos, dejando de lado a los comerciantes, que son los que realmente tiene que afrontar la situación. Una noticia de apenas 15 días, anunciaba que el proveedor de telas Vera Bradley, había sufrido un ataque en sus sistemas de pago, y algo muy significativo, la empresa no contaba con los mecanismos de detección apropiados y fue el FBI quien descubrió el problema y lo comunicó a la empresa [4].

Tal y como indican los expertos, los ataques no se hacen sobre un solo sistema, sino que se realizan en serie sobre múltiples vendedores, haciendo más difícil su detección. Además, cualquier punto en el ecosistema de pagos esta potencialmente en riesgo. Y es que sea cual sea el tamaño de la compañía, desde un minorista hasta grandes compañías están en riesgo. Podemos añadir más casos significativos a los anteriores, como los ataques a la cadena de comida rápida Wendy, al minorista de ropa Eddie Bauer y las cadenas de hoteles Hilton, Trump, Hutton, etc.

Por ello cada versión mejorada del estándar, en cierta manera es un alivio. Por ejemplo, en su última versión, se introdujo una novedad importante, como es la autenticación multifactor para cualquier usuario con permisos de administración de datos asociados a tarjetas, algo ya demandado por algunos expertos en seguridad. En versiones anteriores, este tipo de autenticación era necesaria únicamente en el acceso remoto a los datos, por lo que la seguridad de acceso no era la más apropiada [5].

El CTO de PCI SSC, Troy Leach, señala “El funcionamiento del estándar, siempre está acorde con los nuevos requerimientos en seguridad”. La evolución del estándar es muy sencilla: cada nuevo requisito definido, primeramente, se introduce como una buena práctica, de manera que las empresas se pueden ir preparando para adaptarse al cambio, y posteriormente, en la siguiente versión ya se introduce como una norma [5 bis].

En conclusión, sabemos que el estándar PCI DSS ayuda a las empresas a mantener los datos de los titulares de tarjetas de pago seguros y que obtener una certificación de su uso y aplicación, otorga cierto nivel de confianza por parte del consumidor, pero que desde luego casos como el de Home Depot, nos abren los ojos y nos hacen darnos cuenta de que nunca es suficiente, y que incluso los estándares no contemplan todas las posibilidades y riesgos que existen en los sistemas.


 

Referencias

[1] PCI DSS v3.0 Normas de seguridad de datos: https://es.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/en/docs/PCI_DSS_v3.pdf

[2] “BlackMesh Achieves PCI DSS Level 1 Certification”: http://search.proquest.com/docview/1735954442?OpenUrlRefId=info:xri/sid:primo&accountid=14529

[3] “Home Depot settels consumer lawsuit over big 2014 data breach” (Océano): http://www.reuters.com/article/us-home-depot-breach-settlement-idUSKCN0WA24Z

[4] “Retailed Vera Bradley: Payments System Hacked”: http://www.databreachtoday.com/retailer-vera-bradley-payments-system-hacked-a-9449

[5] “PCI DSS 3.2: The evolution continues”: http://www.csoonline.com/article/3083106/data-protection/pci-dss-3-2-the-evolution-continues.html

PCI DSS: Un aliado frente al ciberfraude

Download PDF

¿Cómo es posible que estés en tu casa y puedas reservar un hotel en la playa sin levantarte del sofá? ¿Cómo puedo ver el catálogo de productos de una marca de ropa y comprar un artículo introduciendo simplemente los datos de la tarjeta y sin firmar ningún resguardo? Son cuestiones que se plantean las personas mayores, como nuestros abuelos o incluso nuestros padres, que desconocen el mundo de la informática o que tienen nociones muy básicas sobre ella. No es sencillo explicárselo y que lo entiendan, pero pueden vivir sin comprenderlo, aunque ven el mundo tecnológico con cierta desconfianza, sobre todo a la hora de facilitar algunos datos personales necesarios en situaciones determinadas que los requieren, como por ejemplo, los datos asociados a sus tarjetas de pago en compras por Internet.

Desde los inicios de la humanidad, las personas se han visto obligadas a establecer relaciones económicas entre ellas para poder satisfacer sus necesidades básicas. Primero fue el trueque o intercambio de productos. Siglos más tarde llegó la moneda y el valor del dinero, y posteriormente mecanismos de pago más modernos como las tarjetas de crédito y débito. Con la llegada de Internet y de los ordenadores personales, primero las grandes multinacionales y después las pequeñas y medianas empresas, vieron la necesidad de anunciarse y promocionarse a través de ella. Poco después el comercio electrónico, las redes sociales, las comunicaciones móviles, los teléfonos inteligentes, etc, lo han vuelto a cambiar todo y se ha generado un abanico de posibilidades inimaginable hace unos pocos años.

Pero todo tiene su parte negativa. Los delincuentes han sabido adaptarse a los nuevos tiempos. Los primeros sistemas de pago conectados a Internet e implantados en tiendas virtuales eran muy básicos y sus mecanismos de seguridad muy precarios. Esta situación fue aprovechada por los ciberdelincuentes para apropiarse de millones de datos asociados a las tarjetas de pago con las que se habían efectuado transacciones. Dicho fraude supuso enormes pérdidas para las principales compañías que daban soporte a dichos sistemas de pago. Por lo que en el año 2006 Visa, MasterCard, American Express, Discover y JCB International formaron un comité denominado PCI SSC (Payment Card Industry Security Standards Council) para abordar el problema y definir una guía que ayudara a las organizaciones que procesan, almacenan y transmiten datos asociados a tarjetas de pago, con el fin de asegurar dichos datos y evitar los fraudes. Dichas directrices se aplicarían a todas las entidades involucradas en el procesamiento de las tarjetas de pago, incluyendo comerciantes, procesadores, adquirientes, emisores y proveedores de servicios. Fruto de estas directrices se definió la primera versión del estándar PCI DSS (Payment Card Industry Data Security Standard).

De acuerdo con el Privacy Rights Clearinghouse, más de 234 millones de registros con información sensible, han sido violados desde enero de 2005. El almacenamiento de datos sensibles sin las medidas de seguridad oportunas, expone a las empresas en mayor medida al fraude y a la piratería, de manera que aumenta el riesgo de tener que pagar miles de euros en daños y perjuicios al titular de la tarjeta afectado. Cumpliendo con el estándar PCI DSS, las empresas pueden disminuir en cierta medida dicho riesgo.

El PCI SSC cuenta con auditores autorizados conocidos como QSA (Qualified Security Assessor) que son los encargados de verificar periódicamente el cumplimiento del estándar PCI DSS por parte de las empresas que gestionan datos relacionados con las tarjetas de pago.

A lo largo de varios años, el PCI SSC ha hecho un trabajo encomiable en la definición y evolución de un conjunto coherente de normas, así como escuchar y adaptarse con el tiempo al feedback aportado por los comerciantes, bancos, proveedores de servicio y proveedores de tecnología” señala Derek Brink, vicepresidente de la compañía Aberdeen Group. Y seguramente tenga razón ya que, durante los últimos 10 años, dicho comité ha sabido adaptarse a los nuevos tiempos. De hecho, actualmente el estándar PCI DSS se encuentra en su versión 3.2 y continúa recibiendo actualizaciones.

La aplicación del estándar PCI DSS se trata de un proceso continuo de mejora en el que: primero se evalúan todos los procesos de negocio para analizar posibles vulnerabilidades que podrían exponer los datos de los titulares de las tarjetas; segundo, se presentan los registros de validación e informes de conformidad al banco adquiriente y a la compañía de tarjetas involucrada y finalmente se resuelven las vulnerabilidades y no se almacenan los datos de los titulares de la tarjeta a no ser que sea necesario.

Algunas empresas piensan el PCI DSS es un estándar difícil de aplicar y que requiere un esfuerzo enorme. Pero si se hace el ejercicio mental de imaginar cuáles podrían ser los daños directos y colaterales en caso de robo y/o pérdida de los datos de tarjetas confiados por clientes a una organización,  la posición y opinión respecto al estándar varía. Por otro lado, muchos comercios y proveedores de servicio grandes, medianos y pequeños han implementado de forma satisfactoria el estándar. En algunos de ellos probablemente la complejidad técnica sea más alta que la existente en su organización, pero aún así han realizado un análisis coste/beneficio y se han dado cuenta que es mejor implementar el estándar, que arriesgarse a perder su buena reputación y enfrentarse a multas y acciones legales.

Para concluir con este post me gustaría señalar que, a pesar de todas las medidas que se aplican para mejorar la seguridad en Internet y la legislación tan estricta que existe, lo que realmente suele suceder, es que los ciberdelincuentes siempre van un paso por delante. Con esto no quiero decir que robar datos sensibles y saltarse las leyes sea una tarea sencilla, y que los estándares y las medidas tomadas no sirven para nada. Todo lo contrario, la aplicación de estándares como el PCI DSS, en un ámbito tan sensible como los datos correspondientes a las tarjetas de pago, reduce las vulnerabilidades y riesgos de los sistemas que los gestionan, pero tampoco garantiza la total protección de los datos y correspondientemente de los usuarios, que son los que realmente sufren las consecuencias.

 

Referencias

Caso de éxito DHL

Download PDF

Podemos pensar que BYOD significa trabajadores utilizando sus dispositivos para trabajar desde casa pero, la verdad, es que abarca muchísimo más que eso. Recientemente, para ser exactos hace menos de dos semanas, DHL anunciaba el lanzamiento de su solución BYOD para la gestión de flotas en carretera. Esta aplicación permitirá el control de las rutas, entregas y  recogidas de mercancías realizadas por su flota que está compuesta por más de 800 camiones.

dhl_express_720x233

Los trabajadores podrán acceder a la aplicación desde su móvil personal (disponible desde cualquier plataforma ya sea iOS, Android, WindowsPhone o HTML5) mientras están en el vehículo y podrán gestionar las rutas que tiene que hacer, sus órdenes de trabajo, etc. Todo desde su móvil y desde cualquier parte, como indica la política BYOD.dhl1

La aplicación ha sido considerada una medida eficaz y rápida a la hora de actualizar sus propios sistemas y los de sus clientes, ya que, en vez de realizar llamadas telefónicas cada vez que hubiese una incidencia (que era lo que hacían hasta ahora) se podrán conocer los eventos que ocurran casi al momento debido a que la aplicación se integra con los sensores y el tacógrafo digital del vehículo, lo que refuerza la seguridad. Gracias a esto, se puede realizar un seguimiento más exhaustivo de la flota. Por otro lado, gestores de tráfico y clientes se podrán conectar a la aplicación para ver en tiempo real el estado de su mensajería.

[Read more…]

Premeditación y alevosía: el escándalo Volkswagen y la ciberconfianza

Download PDF
Petros Giannakouris/ Associated Press
A Volkswagen is surrounded by flowers in Athens, Greece (Petros Giannakouris/ Associated Press)

Inauguro este blog con una breve reflexión sobre el escándalo de esta temporada: Volkswagen y las emisiones, … escándalo que, como bien sabemos, gira alrededor de un producto software diseñado para engañarnos a todos.  Diseñado para engañar. No hay excusas, ni errores humanos, ni accidentes.

El asunto de la ética de los ingenieros que participaron en su concepción, arquitectura, diseño, programación, pruebas, documentación, despliegue y pruebas adicionales y demás… dará para otros posts.

Pero la pregunta que me hago es: ¿dónde estaban todos los controles de calidad y certificación de dicho software? ¿Hubo una auditoría y un auditor detrás?

Solo quiero referenciar un breve artículo, publicado en Forbes, que refleja lo que esto supone para todos nosotros como consumidores. Un duro golpe a la ciberconfianza.  Si Volkswagen puede, todos pueden y en todos los ámbitos imaginables ¿verdad?

Ya no me fio ni mi frigorífico, ni de mi lavadora, ni de mi lavaplatos, … y mucho menos de mi caldera (que de vez en cuando nos asusta con un error F8 que dice ser un ¡fallo de la electrónica! ¿será que quieren que me compre una nueva?).

Pero al grano del punto al que quiero llegar.  En este interesante artículo se mencionan tres términos de mi interés: analítica de datos, auditorías de software y estándares de certificación de software y servicios. Si te interesan en el contexto de la ciberconfianza … ¡léete el artículo!