Una opinión personal sobre el estándar PCI DSS

Download PDF

Una vez realizados todos los posts anteriores, ya tengo una idea más amplia de lo que el estándar PCI DSS (Payment Card Industry Data Security Standard) propone y también he observado casos en los que el estar certificado con PCI DSS no ha evitado que ocurran acciones fraudulentas en una empresa. Todo esto me ha hecho pensar en lo que pasa cada vez que hago una compra online y, además, en el estado de las empresas con mayor facturación online en España. Por todo esto, me gustaría centrar este post en una opinión personal (basada en datos reales) sobre lo que ocurre en las compras del día a día.

Con la evolución del internet para poder comprar online casi todo lo que queremos, han surgido diferentes empresas dedicadas casi en exclusiva al comercio online y otras empresas que han evolucionado para vender online lo que ofrecen físicamente en tienda. Mirando diferentes artículos en internet, he encontrado uno que mostraba las empresas con mayor facturación online en España[1].

Encabezando la lista tenemos a Amazon liderando el ecommerce con unas cifras abrumadoras de 1.301 millones de euros facturados en el año 2017. Si bien es verdad que se han encontrado publicaciones[2] en las que se especifica que el servicio Amazon Web Services es PCI DSS compilant, no he llegado a encontrar ninguna publicación que asegure que la página de ecommerce lo sea. Aun así, existe un FAQ[3] en el que afirman que sí es PCI compilant aunque únicamente en los servicios  que ofrecen.

En segundo lugar nos encontramos el eccomerce de El Corte Inglés con ventas por el valor de 684 millones de euros facturados en el año 2017. Haciendo una búsqueda rápida se puede verificar que esta empresa cumple con el estándar gracias a la pasarela de pago ConexFlow que utilizan[4]. Si bien esos datos fueron recogidos en el año 2007, podemos seguir observando en diferentes páginas actualizadas de la empresa[5] que cumplen con el estándar PCI DSS y, además, con el estándar PA DSS (Payment Application Data Security Standard).

En tercer lugar tenemos PC Componentes, con una facturación de 301 millones de euros en el año 2017. Con un vistazo rápido en su web[6], ha sido fácil encontrar que cumplen con el estándar PCI DSS.

En cuarto lugar tenemos la empresa Mediamarkt, con una facturación de 227 millones de euros en el año 2017. Al igual que ha pasado con la empresa anterior, con una simple búsqueda en su página web[7] ha sido suficiente para encontrar que cumplen con el estándar.

Una vez observados estos datos, he cambiado de misión, me he puesto a buscar empresas de cualquier lugar del mundo que han tenido vulnerabilidades. Si es de esperar que estas empresas a nivel nacional cumplan con el estándar, es de esperar que empresas conocidas mundialmente lo sean y, en mi opinión, deberían tener aún más cuidado que empresas nacionales en lo que al ecomerce se refiere.

Echando un vistazo en la página gbhackers[8], ha sido muy fácil encontrar diferentes ejemplos de este problema, ¿cómo he dado con esta página? Muy sencillo, soy una persona a la que le gusta comprar maquillaje, una de las empresas americanas en las que suelo comprar es Tarte. Me he puesto a buscar fallos de esta empresa y, tras encontrarlos[9] he podido observar que este sitio guarda aun más noticias relacionadas con el estándar PCI DSS.

Captura de pantalla 2018-11-25 a las 21.06.18

Actualmente, no existe ninguna ley que regule los pagos realizados en ecommerces y, se puede observar que los problemas que ocurren cuando se implementan mal estas transferencias (o, directamente, no aplicar ningún tipo de control) hace ‘quebrantar’ leyes sobre la protección de los datos de los clientes. Vivimos en un mundo en el que las ventas online incrementan todos los años de manera continuada[9] y en el que el robo de datos está a la orden del día. Estamos en el momento propicio para crear leyes que regulen las compras (y el tráfico en general) online. Hay demasiados antecedentes en este sector como para que se empiecen a tomar medidas inmediatamente.

Si bien es verdad que ‘los malos’ siempre van a existir, ¿no es hora de que ‘los buenos’ les pongan el trabajo aun más difícil? ¿No es hora de empezar a imponer leyes y acciones para proteger los datos de los ciudadanos de este mundo? ¿No es hora de empezar a controlar el tráfico online de una manera más exhaustiva? Yo creo que sí, yo creo que ya va siendo hora de empezar a tomar cartas en el asunto. Desde mi punto de vista, es hora de coger el estándar PCI DSS y redactar una ley (o las que hagan falta) sobre el mismo y obligar a las empresas a que la apliquen como es debido. Es hora de crear sanciones para todas aquellas empresas que apliquen mal el estándar y, aún más severamente, de sancionar a todas aquellas empresas que no acojan las leyes creadas.

 

Referencias:

[1] <<Las cinco tiendas online que más facturan en España>>, Statista, 24 de Noviembre de 2018, https://es.statista.com/grafico/15551/tiendas-online-con-mayor-facturacion-en-espana/

[2] <<Introducción a Amazon Web Services>>, Deloitte, 24 de Noviembre de 2018, https://www2.deloitte.com/es/es/pages/technology/articles/introduccion-a-amazon-web-services.html

[3] <<Is Amazon.com PCI compilant?>>, Quora, 24 de Noviembre de 2018, https://www.quora.com/Is-Amazon-com-PCI-compliant

[4] << Informática El Corte Inglés, primera empresa española en obtener la máxima certificación internacional de seguridad en el pago con tarjetas de crédito>>, El Corte Inglés, 24 de Noviembre de 2018, https://www.elcorteingles.es/informacioncorporativa/es/comunicacion/notas-de-prensa/informatica-el-corte-ingles-primera-empresa-espanola-en-obtener-la-maxima-certificacion-internacional-de-seguridad-en-el-pago-con-tarjetas-de-credito.html

[5] Informática El Corte Inglés, El Corte Inglés, 24 de noviembre de 2018,  https://www.iecisa.com/es/que-hacemos/soluciones/Enhanced-Commerce/

[6] <<Condiciones de tarjetas vinculadas>>, PC Componentes, 24 de noviembre de 2018, https://www.pccomponentes.com/condiciones-paytpv

[7] Atención al cliente, MediaMarkt, 24 de noviembre de 2018, https://specials.mediamarkt.es/atencion-al-cliente

[8] GBHackers on security, GBhackers, 24 de noviembre de 2018, https://gbhackers.com/

[9] <<E-Commerce In 2018: Here’s what the experts are predicting>>, Forbes, 24 de noviembre de 2018, https://www.forbes.com/sites/tompopomaronis/2017/12/15/e-commerce-in-2018-heres-what-the-experts-are-predicting/#1552ddf06deb

Las empresas españolas también aplican el estándar PCI DSS

Download PDF

Hace unos cuantos posts comentaba los diferentes requisitos que formaban el PCI DSS (Payment Card Industry Data Security Standard) y diferentes empresas (no españolas) que habían tenido algún problema o que habían implantado correctamente el estándar.

Según el artículo <<PCI DSS 3.2: What You Need To Know>>[1] con la nueva versión 3.2 del estándar PCI DSS hay grandes cambios que afectan a todas la organizaciones:

  • Se requiere una autenticación multifactor para el acceso administrativo a cualquier sistema dentro o conectado al entorno de datos de titular de la tarjeta (Cardholder Data Environment, CDE), incluso al incorporarse desde una red corporativa. Es decir, además de una contraseña, cualquier persona que intente acceder al sistema deberá presentar alguna otra forma de identificación.
  • Se requiere el monitoreo de integridad de archivos o algún tipo de solución de detección de cambios que incluye todos los sistemas conectados del CDE. Actualmente, muchas organizaciones no cuentan con tecnología de monitoreo de integridad de archivos en terminales de puntos de venta o en estaciones de trabajo administrativo.
  • La gestión del cambio es un área de creciente preocupación para el Consejo de Normas de Seguridad dado que las organizaciones tienen que documentar cuidadosamente todos los cambios a los sistemas dentro del alcance. Este documento debe demostrar que se han aplicado los controles tras la implementación y que existen medidas correctivas por si fueran necesarias.

Por otro lado, los proveedores de servicios tienen un mayor escrutinio.

  • La supervisión de los controles debe ser capaz de detectar fallos y deben existir procesos de soporte que documenten como corregirlos
  • Los proveedores de servicios deben asignar a un miembro de la gerencia ejecutiva para que sea el encargado de proteger el CDE.
  • Hay que realizar revisiones operativas trimestralmente de los procesos operativos incluyendo registros diarios, reglas de firewall, estándares de configuración, alertas de seguridad y procedimientos de administración de cambios.
  • Los proveedores de servicio deben de proporcionar a los auditores una descripción documentada de la arquitectura criptográfica utilizada en el CDE. Esto deberá incluir todos los algoritmos, protocolos y/o claves utilizados para la protección de los datos del titular de la tarjeta, incluida la solidez de la clave.

Dado que esta versión del estándar ha sido publicada en Mayo de 2018 es de esperar que todas las empresas se hayan adecuado para cumplirlo. Sabemos que diferentes empresas lo han conseguido pero, ¿lograremos dar con datos de España? Efectivamente, existen empresas españolas o elegidas por algún tipo de Gobierno Español que tengan la certificación PCI DSS.

Un ejemplo de la importancia de este estándar lo podemos encontrar en un concurso público que recientemente ha lanzado el Ayuntamiento de Barcelona[2]. Este concurso se basaba en realizar un servicio para el pago por teléfono de tasas y multas. El ganador del concurso público ha sido la empresa Quality Telcom con su servicio  PayByCall. Quality Telcom es una empresa especializada en soluciones de software para el pago telefónico de productos y servicios y, para generar dicho servicio, se ha creado la aplicación PayByCall.

Según la página oficial de este servicio[3], los datos de la tarjeta se introducirán mediante datación DTFM, a través del teclado del teléfono. Los datos de la tarjeta no se almacenan en ningún momento, se envían directamente mediante petición segura con el banco, que es quien devuelve la autorización para proceder con el cambio.

Esta aplicación dota con la certificación PCI nivel 1, el más alto nivel de seguridad posible por lo que cabe considerar que todas las transacciones se realizan dentro de un entorno seguro de pago.

Buscando diferentes empresas españolas que fueran PCI DSS compilant, he encontrado la empresa Idiso. Esta compañía ha conseguido el estándar PCI DSS para el sector turístico, dado que se trata de una compañía hostelera. Durante más de cinco años ha conseguido superar la auditoría anual para obtener dicha certificación. La compañía hotelera Idiso ofrece una solución llamada Idiso Booking Engine que ayuda a los hosteleros a cubrir sus necesidades de venta y ofrecer un servicio innovador y seguro. Además, optimizan los ingresos de los hoteles ofreciendo garantías de la mejora continua basándose en la experiencia de compra y la innovación con la última tecnología entre otras cosas[4]. En la siguiente imagen podemos conocer de forma gráfica algunos de los resultados que han obtenido en un estudio en 2015 sobre el fraude financiero.

Infografía-PCI-DSS-3-768x2119

 

[1] <<PCI DSS 3.2: What you need to know>> KnowledgeLeader, acceso el 18 de noviembre,   https://www.knowledgeleader.com/knowledgeleader/resources.nsf/description/HIPCIDSS32%E2%80%93WhatYouNeedtoKnow/$FILE/HI%20PCI%20DSS%203.2%20%E2%80%93%20What%20You%20Need%20to%20Know.pdf

[2] <<Barcelona utilizará el servicio PayByCall de Quality Telecom para el pago telefónico de tasas y multas>>, comunicae.es, acceso el 18 de noviembre,    https://www.comunicae.es/nota/barcelona-utilizara-el-servicio-paybycall-de-1197187/

[3] <<Pay by Call, la solución segura de pago telefónico>> Pay by call company, acceso el 18 de noviembre,    http://www.paybycall.es/

[4] <<Idiso Booking Engine>> idiso company, acceso el 18 de noviembre,   https://www.idiso.com/soluciones/idiso-booking-engine/

Riesgos PCI DSS

Download PDF

 

Como ya se ha comentado en el post anterior, existen empresas que han sufrido vulnerabilidades referentes al pago mediante tarjeta online. Según M.V. Kuzin[1] un estudio realizado por el equipo de riesgos de Verizon en conjunto con el Servicio Secreto de los Estados Unidos de América observaron que:

  • Se habían comprometido 3,88 millones de elementos de datos
  • El 96% de esos datos datos comprometidos se refiere a los datos de las tarjetas de pago
  • En cuanto a los ataques descubrieron que el 43% no requirieron herramientas especiales para piratear, otro 49% se asoció con el uso de ciertos métodos y herramientas, y solo en el 8% de los casos se usaron conocimientos especiales y recursos de computación significativos
  • El 89% de las organizaciones que procesaron y almacenaron datos de tarjetas de pago en el momento de la piratería no cumplían con los requisitos del estándar de la industria de datos de tarjetas PCI DSS (Norma de seguridad de datos de la industria de tarjetas de pago), y el 11% sí.

Además, el estudio reveló ciertos datos que pueden resultar curiosos como poco. En primer lugar, el haber pasado la auditoría de PCI DSS no quiere decir que se sigan cumpliendo las normativas del mismo, solo informa que en el momento sí que las cumplían.

Por otro lado mostró que las empresas ya no cumplían con los requisitos de PCI DSS, aunque sí que lo habían hecho en el momento de pasar la auditoría.

Finalmente, extrajo las siguientes dos conclusiones principales:

  1. La norma o estándar no es suficiente para proteger los datos del titular de la tarjeta, y cumplir con sus requisitos no proporciona actualmente una seguridad adecuada;
  2. La norma o estándar desplaza la carga de responsabilidad por fraude en lugar de evitar que los datos se vean comprometidos.

Una vez vistos datos reales creados por instituciones con credibilidad, te paras a pensar ¿cuáles son entonces los riesgos a los que te enfrentas al pagar con tarjeta?

Si bien la mayoría de los riesgos de la implementación de PCI DSS son generados en al implementación de código que las empresas realizan, según se puede leer en el artículo de Danial Clapper y William Richmond[2], existen varios  otros riesgos relacionados con PCI DSS, muchos de ellos generados por el no cumplimiento del mismo. Uno de los  riesgos que mencionan en el artículo es el riesgo al robo de la información del usuario que realiza una transacción. Para reducir este riesgo, proponen adherirse al Payment Card Industry Data Security Standard (PCI DSS). En general, las empresas pequeñas no entienden la seguridad de la tecnología de la información y, por tanto, algunas de ellas suelen tener brechas de seguridad.

Además, no solo puede haber robos de datos, también podría darse el caso de acabar con pérdida de datos de los clientes, lo que no solo acabaría con una mala reputación de la empresa si no que acarrearía en compromisos legales por no haber contemplado esos casos con anterioridad.

Para poder tener una mayor control de los riesgos que puedan ser generados con PCI DSS, desde la página oficial de PCI [3] dentro de los requisitos que proponen, más concretamente en el punto 6.1, obliga a las organizaciones a establecer un proceso para identificar vulnerabilidades de seguridad, utilizando fuentes acreditadas e información actualizada sobre vulnerabilidades, es decir, organizaciones deben llevar a cabo una exploración de vulnerabilidades, al menos en los servidores que están en el ámbito de la regulación PCI. Para ello, habrá que hacer una gestión de riesgos siguiendo los siguientes puntos:

  • Establecer un contexto. El equipo de riesgos tiene que comprender los parámetros internos y externos para poder hacer una evaluación de los riesgos.
  • Identificación de activos. Los activos pueden ser algo de valor para la organización. En cuanto a PCI DSS, los activos incluyen las personas, procesos y tecnologías que participan el el procesamiento, almacenamiento transmisión y protección de los datos.
  • Identificación de las amenazas. Las amenazas pueden incluir personas, los sistemas que utilizan y las condiciones en las que éstos se encuentran. La organización deberá ayudar al evaluador de riesgos a mostrarle dónde se encuentran potencialmente las amenazas.
  • Identificación de las vulnerabilidades. Una vulnerabilidad es una debilidad que puede ser explotada por una amenaza y puede venir tanto de la tecnología, la organización, el medio ambiente o una empresa. En la evaluación de riesgos todas las vulnerabilidades deben de ser consideradas (p.ej. vulnerabilidades que pueden ocurrir como resultado del desarrollo, diseño y/o implementación software)

Este post lo voy a finalizar mostrando una imagen. En ésta se recoge un resumen más exhaustivo de las amenazas, vulnerabilidades, riesgos e impactos.Captura de pantalla 2018-11-11 a las 22.27.21

 

Referencias:

[1] M. V. Kuzin. (2011). PCI DSS: Security Standard and Security in Fact. Bezopasnostʹ Informacionnyh Tehnologij, 18(4), 120-125

[2] Clapper, Danial, and William Richmond. “Small Business Compliance with PCI DSS.” Journal of Management Information and Decision Sciences 19, no. 1 (2016): 54-67. [pdf carpeta ACCSI_Volumes]

[3] PCI Security Standard Council, Information Supplement: PCI DSS Risk Asessment Guidelines, noviembre 2012, acceso el 11 de noviembre de 2018, https://www.pcisecuritystandards.org/documents/PCI%20SSC%20Quick%20Reference%20Guide.pdf

¿Qué se esconde tras PCI DSS?

Download PDF

Dado que PCI DSS (Payment Card Industry Data Security Standard), como bien su nombre lo indica, es un estándar, se rige por ciertos requisitos aunque, en este caso, dado su carácter (no es obligatorio) estos requisitos son únicamente recomendaciones. Podemos englobar las normas en diferentes categorías: Desarrollar y mantener sistemas y redes seguros, Proteger los datos del titular de la tarjeta, Mantener un programa de administración de la vulnerabilidad, Implementar medias sólidas contra el acceso, Supervisar y evaluar las redes con regularidad y Mantener una política de seguridad de la información. Los requisitos que se engloban en éstas son los siguientes[1]:

  • Instalar y mantener una configuración de firewalls para proteger los datos de los titulares de las tarjetas
  • No utilizar contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores
  • Proteger los datos del titular de la tarjeta que fueron almacenados .
  • Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas.
  • Proteger todos los sistemas contra malware y actualizar los programas o software antivirus regularmente
  • Desarrollar y mantener sistemas y aplicaciones seguras
  • Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa
  • Identificar y autenticar el acceso a los componentes del sistema.
  • Restringir el acceso físico a los datos del titular de la tarjeta
  • Rastrear y supervisar todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas
  • Probar con regularidad los sistemas y procesos de seguridad.
  • Mantener una política que aborde la seguridad de la información de todo el personal

En la siguiente imagen podemos observar la colocación de las restricciones en cada una de las categorías nombradas anteriormente:

capt

 

Con el creciente comercio electrónico, es lógico que las empresas que utilicen pagos online se quieran certificar en el PCI DSS, éste no solo le garantiza un nivel de seguridad si no que, además, le proporciona a la empresa cierta reputación y los usuarios o consumidores de sus productos le otorgan confianza a la empresa.

A la hora de buscar información sobre diferentes empresas que tuvieran dicho certificado me he parado a pensar cómo se consigue dicho certificado y me he puesto a indagar en ello. En un artículo publicado por Medium[2] y la sección de FAQ de CompilanceGuide[3] he encontrado la información que necesitaba.

Todas las empresas que utilizan el sistema de pago online (mediante tarjeta) se ubica en uno de los cuatro niveles definidos por Visa según el volumen de transacciones realizadas en el periodo de un año. El certificado en cada nivel se puede obtener de dos maneras: autoevaluado o mediante        QSA (Qualified Security Assesor). La mayoría de las empresas prefieren la autoevaluación dado que los tiempos y los costes son menores que con QSA. Si bien una empresa nivel 1 debería contratar un QSA, es posible que ésta se pueda autoevaluar rellenando un cuestionario (dependiendo de lo involucrados que estén con los datos éste podría ser: SAQ A, SAQ A-EP o SAQ D). En la siguiente tabla se refleja la relación entre volumen, tipo de evaluación y nivel PCI:

Volumen transacciones

(anuales)

Tipo de evaluación

Nivel PCI

Menos que 2.000 Autoevaluación PCI nivel 4
Entre 2.000 y 1.000.000 Autoevaluación PCI nivel 3
Entre 1.000.000 y 6.000.000 Autoevaluación PCI nivel 2
Más de 6.000.000 QSA PCI nivel 1

Si bien es verdad que he encontrado diferentes empresas que tiene el certificado PCI, la empresa que voy a mencionar que lo tiene es Flutterwave dado que hay un punto que me ha resultado curioso[x]. Muchas empresas han conseguido el estándar PCI, pero, de entre las que he encontrado, Flutterwave es la única que ha renovado su certificación[3] el 23 de Octubre de 2017. Dadas las transacciones que esta empresa realiza, han tenido que certificar un Nivel 1 de PCI.

Mientras buscaba información para este post, me encontré con datos sobre una aplicación llamada Rappi. Ésta es una aplicación que nos permite realizar compras en comercios cercanos. El problema de esta aplicación fue la manera en la que trataban los datos dado que, al no utilizar los mecanismos recomendados por el procesador de pagos, éstos fueron expuestos. Estaban exponiendo las credenciales del lugar en el que se guardaban los datos en el código de la página web y, por tanto, se pudo conocer la información de tarjetas de crédito almacenadas. En consecuencia, se realizaron miles de operaciones fraudulentas. Tardaron 61 días en arreglar el fallo dado que éstos no poseían ninguna persona encargada de solucionar bugs[2].

Me gustaría concluir este post comunicando que, por mucho que se intente regularizar algo, siempre vamos a tener el factor humano “en nuestra contra”. El mayor de los problemas al que una empresa se enfrenta es el factor humano dado que cometemos errores. Antes de realizar cualquier compra online, deberíamos cerciorarnos de que la empresa a la que le estamos comprando tiene la certificación PCI dado que, en caso contrario, se podría dar la situación de acabar siendo nosotros los que nos veamos envueltos en una situación parecida a la de los usuarios de Rappi.

 

Referencias:

[1] PCI Security Standard Council, Requisitos y procedimientos de evaluación de seguridad, noviembre 2013, acceso el 4 de noviembre de 2018, https://es.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/en/docs/PCI_DSS_v3.pdf

[2] Advisability, <<Fallas graves en la seguridad de tarjetas de crédito y credenciales en Rappi>>, Medium, 4 de Noviembre de 2018, https://medium.com/advisability/tarjetas-credito-rappi-714e75166f7a

[3] <<Preguntas frecuetes de PCI>>, CompilanceGuide.org, acceso el 4 de noviembre de 2018, https://www.pcicomplianceguide.org/faq/#4

[x] Flutterwave, <<Flutterwave Renews PCI-DSS Level 1 Certification, 4 de noviembre de 2018, https://medium.com/@theflutterwave/flutterwave-renews-pci-dss-level-1-certification-1b39feda711c

 

PCI DSS, estándar para combatir el fraude en compras online

Download PDF

En la era en la que vivimos, la mayoría de las personas no suelen pensar en las consecuencias que actos tecnológicos como puede ser la compra online pueden acarrear. Con el paso del tiempo la gente ha ido evolucionando y se va sintiendo más segura a la hora de realizar compras por internet pero, aun así, las vulnerabilidades del pago por internet siguen estando presentes.

Con el comienzo de la era de internet, las diferentes operadoras de tarjetas de crédito ampliaron sus servicios para poder comprar por internet pero no fue hasta octubre de 1999 que Visa aprobó el desarrollo de la primera medida contra el fraude. Esta medida era CISP (Cardholder Information Security Program) y es una de las precursoras del PCI DSS (Payment Card Industry Data Security Standard).

Dado que los mecanismos de seguridad inicialmente implantados eran muy sencillos, Visa y Master Card, entre los años 1988 y 1998, reportaron un total de 750 millones de dólares en concepto de fraude con las tarjetas de crédito. Para poder combatir ese cibercrimen, con el paso de los años se han implantado diferentes medidas de seguridad, entre las que podemos destacar:

  • Diciembre de 2004. Debuta la primera versión de PCI DSS (PCI DSS 1.0). Es un día distintivo en la historia de la seguridad de la información dado que éste es el primer estándar de seguridad unificado respaldado por las cinco principales marcas de tarjetas (Visa, Master Card, JCB, American Express y Discover,). Éstas fundaron el comité PCI SSC (Payment Card Industry Security Standards Council) para proporcionar un foro transparente en el que todas las partes interesadas puedan aportar información para el desarrollo, la mejora y la difusión en curso de las PCI DSS.
  • Septiembre de 2006. Se lanza la versión PCI DSS 1.1. El código de la aplicación personalizado debe revisarse profesionalmente para detectar vulnerabilidades. Es en este punto donde las cinco principales compañías deciden tener un grupo independiente que les audite. Este grupo pasará a ser conocido como QSA (Qualified Security Assessor).
  • Octubre de 2008. Se lanza la versión PCI DSS 1.2. En esta nueva versión se incluyen nuevos requisitos respecto a 802.1x para la protección de redes inalámbricas. Este puede llegar a ser un cambio muy costoso para algunos minoristas.
  • Junio 2010. Se decide que los cambios se van a realizar periódicamente cada tres años en vez de cada dos como hasta el momento.
  • Octubre 2010. Debuta la versión PCI DSS 2.0. Según Ed Moyle, manager senior de CTG, “Esta versión del estándar representa una simplificación del proceso de evaluación, que debería ayudar a aliviar un poco la carga de cumplimiento de las normas PCI DSS”.
  • Noviembre 2013. Debuta la versión PCI DSS 3.0. Se enfatiza la necesidad de evaluaciones internas de vulnerabilidad, agrega flexibilidad a los requisitos de contraseña y resalta la creciente importancia del cumplimiento del proveedor.
  • Abril 2015. Se publica la versión PCI DSS 3.1. Se incluían los cambios a realizar para abordar las vulnerabilidades dentro del protocolo de cifrado SSL (Secure Sockets Layer) que puede poner en riesgo los datos de pago.
  • Abril 2016. Se publica la versión PCI DSS 3.2. Se incluyeron las fechas de migración revisadas para abordar los datos generados con el protocolo SSL.

Ya conocemos los cambios que se han ido realizando en las diferentes versiones del estándar pero, ¿qué es realmente PCI DSS?

PCI DSS es el estándar de seguridad de datos para la industria de  tarjeta de pago y fue desarrollado por el comité PCI SSC como una guía para ayudar a las diferentes organizaciones que procesan, almacenan y/o transmiten datos de titulares de la tarjeta para asegurar los datos con el fin de evitar fraudes. Éste es un proceso continuo de mejora en el que se evalúan los procesos de negocio para poder resolver las vulnerabilidades que se observan en los mismos.

Toda compañía que procese, guarde o transmita cualquier tipo de dato de tarjetas de crédito y débito debe cumplir con lo que los estándares dictaminen o se arriesgan a perder los permisos que tienen para procesar las tarjetas de crédito y débito, auditorías o pagos de multas. No obstante, los proveedores de servicios de tarjetas de crédito y de débito deben ser los que validen el cumplimiento de los estándares.

Esta validación la realizan los auditores autorizados (QSAs). Los QSA son organizaciones de seguridad independientes que han sido calificadas por el consejo de normas de seguridad de PCI.

111111111

Referencias:

The history of the PCI DSS standard: A visual timeline: https://searchsecurity.techtarget.com/feature/The-history-of-the-PCI-DSS-standard-A-visual-timeline

ISACA PCI DSS CC Virtualization Guidelines: https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf

PCI SSC Qualified Security assesors: https://www.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors

ISO 27001 y futuro de PCI DSS

Download PDF

Como todo en la vida tiene su fin, este es el último Post relacionado con PCI DSS. La verdad es que la experiencia ha sido positiva. ¿Y de qué voy a hablar hoy? Bueno ahora lo comprobareis.

En primer lugar, me gustaría realizar una comparativa entre dos estándares que comparten muchas similitudes y ciertas diferencias. Uno de ellos está claro, se trata de PCI DSS, ¿pero cuál es el otro?, pues ni más ni menos que la ISO 27001. Empezamos viendo alguna diferencia en su definición.

PCI DSS es un estándar aplicado únicamente a la seguridad de los datos de las tarjetas de crédito, y es únicamente aplicable a las compañías que procesas, almacenan y transmiten estos datos. Además, este estándar es de obligatorio cumplimiento en función del volumen de transacciones efectuadas. En cambio, ISO 27001 es un estándar internacionalmente reconocido, que regula el establecimiento de sistemas de gestión de la seguridad de la información. Es decir, puede ser aplicado en cualquier organización, y su implementación es opcional, por lo que no es obligatorio [1].

Como he comentado en Posts anteriores, PCI DSS está compuesto por 12 requerimientos fundamentales. ISO 27001 aborda siete grandes áreas: organización, liderazgo, planificación, soporte, operación, evaluación y mejora. Además, PCI cuenta con cuatro niveles de certificación, en función del número de transacciones de la compañía. En la Tabla 1 podemos ver como cada uno de los requerimientos de PCI DSS se relaciona con algunas cláusulas de la ISO.

Tabla 1: Mapeo entre los requerimientos PCI DSS y las cláusulas de ISO 27001.

Y es que estos dos estándares son perfectamente compatibles y se pueden implementar en cualquier compañía. De hecho, ISO 27001 ofrece mayor flexibilidad debido a que posee controles de alto nivel, de manera que muchas compañías se decantan por implantar ISO 27001 si no operan específicamente con datos de tarjetas de crédito. Si además comparamos los costes de implantación de ambos estándares, ISO 27001 supone de media unos 150 mil dólares, en cambio PCI DSS puede suponer un gasto de hasta 700 mil dólares. Y no solo eso, los plazos de auditoría son diferentes para cada estándar. Para renovar la certificación de ISO 27001 se elabora una auditoría cada 3 años, aunque anualmente se elaboran pequeñas auditorias de seguimiento. En el caso de PCI, para cumplir el nivel más alto de certificación, se elabora una auditoria anualmente para renovarla, y trimestralmente una auditoría de escaneo de la red [2].

Y el futuro ¿Qué nos deparará? ¿Se seguirán utilizando las tarjetas de crédito o utilizaremos otros medios de pago? Bueno realmente el futuro es muy difuso. En los últimos 50 años se ha generado una tendencia a desplazar el dinero en efectivo, tomando cada vez más relevancia el uso de las tarjetas de crédito. Con el inicio de la nueva era digital y la aparición del e-commerce, han surgido nuevas formas de pago como el pago móvil o tecnologías como Bitcoin, que a su vez pueden ir desplazando el uso de las tarjetas. A pesar de ello, los expertos sugieren que el uso de las tarjetas continuaría a corto plazo, ya que los pagos denominados pequeños, por ejemplo, una consumición en un bar, se hacen cada vez más por medio de tarjetas y móviles, en lugar de dinero en efectivo. A largo plazo podría cambiar esta tendencia, ya que el sector de pagos móviles empieza a tener mayor peso. A sí mismo, los clientes que necesitan crédito para financiar sus compras pueden recurrir a las soluciones de préstamo que empiezan a ofrecer los puntos de venta, de manera que no solo los usuarios, sino que también los comerciantes salen beneficiados, para aumentar la escala de su negocio y acceder a nuevas fuentes de ingresos en forma de interés.

Todas estas innovaciones pueden erosionar los volúmenes de tarjetas de crédito, amenazando a los modelos de negocio. Es por ello que el estándar PCI DSS deberá seguir fiel a sus principios de evolución, y adaptarse a las nuevas formas de pago. Por ello veo necesario que no solamente abarque procedimientos y requerimientos exclusivos de manejo de datos de tarjetas de crédito. Creo que debería abarcar las nuevas posibilidades existentes, ya que existe la posibilidad de que los nuevos medios de pago sustituyan a las tarjetas de crédito, de manera que dicho estándar dejará de tener sentido. Es más, en ese escenario, la ISO 27001 probablemente tenga mucho más sentido aplicarla, porque al tratarse de un estándar más genérico, en cuanto a que no trata específicamente del manejo de datos de tarjetas de pago, y de más alto nivel, las posibilidades de adaptación a los nuevos tiempos son mucho más sencillas que para PCI DSS, además de que es más sencilla su implantación y más barata [3].

Pero bueno en el futuro iremos viendo lo que sucede y cómo evoluciona PCI DSS, del que esperemos siga siendo un estándar de referencia en el mundo de los medios de pago. Y como decía el famoso periodista y presentador Luis Mariñas, “Así son las cosas y así se las hemos contado”.


Referencias

[1] “Planning for and Implementing ISO 27001”: http://www.isaca.org/Journal/archives/2011/Volume-4/Pages/Planning-for-and-Implementing-ISO27001.aspx

[2] “ISACA Journal edición Enero/Febrero 2016”: http://www.isacajournal-digital.org/isacajournal/2016_volume_1?folio=51&pg=53#pg53

[3] “The future of PCI” : http://www.sfgnetwork.com/blog/payment-processing/the-future-of-pci/

Profundizando en el mundo de PCI DSS

Download PDF

Cuando hablamos de estándares en cualquier ámbito de la tecnología, nos referimos no solamente a requisitos o reglas que se deben cumplir, sino también a controles y riesgos que afectan a la seguridad de todos los componentes, tanto software como hardware, que utiliza cualquier sistema de información.

Y como el tema escogido ha sido el estándar PCI DSS, del que llevo hablando durante un tiempo en las entradas de este blog, en este post profundizaré en los controles y procedimientos de dicho estándar:

  • Requisito 1: Instalar y mantener una configuración de firewall que proteja los datos asociados a las tarjetas de crédito.
    • Instalar un firewall para cada conexión a internet (en todos los dispositivos) y entre cualquier DMZ (Desmilitarized Zone) y para cada red interna.
    • Configurar todos los firewalls con una descripción de los grupos responsables de las componentes de la red, justificando cada servicio, protocolo y puerto utilizado.
    • Revisar la configuración del firewall al menos una vez cada seis meses comprobando el cumplimiento de la política de configuración.
    • Configurar los routers de manera que bloqueen las conexiones entre las partes no confiables y los datos asociados a las tarjetas.
    • Asignación de un responsable que compruebe los registros del firewall diariamente.
  • Requisito 2: Cambiar las contraseñas y parámetros de seguridad por defecto que establece el fabricante.
    • Desarrollar estándares de configuración para todos los componentes del sistema que aborden todas las vulnerabilidades y sean consistentes con las definiciones aceptadas por la industria.
    • Mantener un listado de componentes que estén dentro del alcance del PCI DSS.
  • Requisito 3: Protección de los datos asociados a las tarjetas de crédito.
    • Limitar el almacenamiento de datos del titular de la tarjeta y el tiempo de retención de los datos, tal y como se especifica en la política de seguridad.
    • Establecer una máscara PAN (mostrar los seis primeros y los últimos cuatro dígitos del número de cuenta), de modo que solo las personas autorizadas puedan ver el PAN (número de cuenta) completo.
    • Documentar e implementar procedimientos para proteger las claves utilizadas para el cifrado de los datos del titular de la tarjeta.
  • Requisito 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas.
    • Utilizar criptografía robusta y protocolos seguros como TLS, SSH o IPSec para salvaguardar los datos sensibles durante la transmisión de los mismos.
  • Requisito 5: Protección de los sistemas contra malware y actualizar regularmente el software antivirus.
    • Implementar un software antivirus en todos los sistemas que puedan ser afectados por software malintencionado. También se deben realizar evaluaciones periódicas para comprobar la evolución de las amenazadas.
    • Asegurarse de que todos los mecanismos antivirus se mantengan actualizados, realizando exploraciones periódicas y generando registros de auditoría.
  • Requisito 6: Desarrollo y el mantenimiento de sistemas y aplicaciones seguros.
    • Establecer un proceso para identificar vulnerabilidades de seguridad.
    • Proteger todos los componentes del sistema mediante parches de seguridad suministrados por el proveedor en el plazo máximo de un mes desde su lanzamiento.
    • Seguir los procedimientos de control de cambios para todos los cambios en las componentes del sistema.
    • Asegurarse de que todas las aplicaciones web estén protegidas contra ataques conocidos. Realizar una evaluación de la vulnerabilidad de las aplicaciones al menos una vez al año e instalar una solución técnica automatizada que detecte y prevenga de ataques web.
  • Requisito 7: Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa.
    • Limitar el acceso a los componentes del sistema y los datos del titular de la tarjeta.
    • Establecer un sistema de control de acceso para componentes del sistema basado en la necesidad del usuario, que permita mostrar únicamente lo estrictamente necesario.
  • Requisito 8: Identificar y autenticar el acceso a los componentes del sistema.
    • Definir e implementar políticas y procedimientos para asegurar una gestión adecuada de la identificación del usuario. Además, asignar a todos los usuarios, un nombre de usuario único.
    • Implementar autenticación multifactor para todos los accesos remotos.
    • Todo acceso a BD que contenga datos del titular de tarjeta debe estar restringido, salvo a los administradores con permisos específicos.
  • Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta.
    • Utilizar controles de entrada a las instalaciones para limitar y monitorear el acceso físico.
    • Distinguir fácilmente entre personal y visitantes.
    • Asegurarse de que todos los visitantes están autorizados a antes de entrar en áreas sensibles. Además, utilizar un registro de visitantes y conservar dicho registro por lo menos durante tres meses.
    • Almacenar las copias de seguridad de medios en un lugar seguro.
    • Proteger los dispositivos que capturan los datos de la tarjeta a través de interacción física.
  • Requisito 10: Rastrear y supervisar todos los accesos a los recursos de red y a los datos del titular de la tarjeta.
    • Implementar pistas de auditoría automatizadas para los componentes del sistema.
    • Registrar toda la información recopilada tras el proceso de auditoría.
    • Implementar controles para adquirir, distribuir y almacenar los tiempos críticos del sistema.
    • Revisar todos los registros y eventos de seguridad para identificar anomalías.
  • Requisito 11: Probar con regularidad los sistemas y procesos de seguridad.
    • Implementar procesos para probar la presencia de puntos de acceso inalámbricos no autorizados.
    • Ejecutar exploraciones de vulnerabilidades de red interna y externa trimestralmente y después de cada cambio en la red.
    • Utilizar técnicas de detección de intrusiones en la red o prevención.
    • Implementar un mecanismo de detección de cambios.
  • Requisito 12: Mantener una política que aborde la seguridad de la información para todo el personal.
    • Establecer, publicar, mantener y difundir una política de seguridad y revisarla anualmente.
    • Implementar un proceso de evaluación de riesgos que se lleve a cabo una vez al año.
    • Asegurar que la política y procedimientos de seguridad definen claramente las responsabilidades de seguridad.

Cada uno de los requerimientos tiene varios controles y procedimientos asociados, mediante los cuales, y a través de la auditoría de QSA, una empresa puede obtener la certificación PCI DSS de Nivel 1 acorde con la versión 3.2. Aplicando adecuadamente cada control y verificando su aplicación periódicamente, se puede conseguir cierto nivel de seguridad en relación a los datos de los titulares asociados a cada tarjeta, ofreciendo confianza al consumidor y contribuyendo al crecimiento del estándar.


 

Referencias

PCI DSS Quick Reference Guide: https://www.pcisecuritystandards.org/documents/PCIDSS_QRGv3_1.pdf

“A Guide to PCI DSS 3.2 Compilance: A Dos and Don’ts Checklist”: https://blog.varonis.com/a-guide-to-pci-dss-3-2-compliance-a-dos-and-donts-checklist/

Norma de seguridad de datos: Requisitos y procedimientos de evaluación de seguridad Version 3.2: https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2_3_es-LA.pdf

 

El estándar PCI DSS más cercano

Download PDF

En mi anterior post, nombré algunas empresas extranjeras que habían aplicado el estándar PCI DSS y además, en algunos casos, habían sufrido ataques en sus sistemas de pago dejando en entredicho la eficacia del estándar. Pero ahora nos preguntamos, ¿realmente se utiliza este estándar en España? ¿Y qué empresas lo utilizan? Vamos a ver algunos ejemplos de aplicación más cercanos a nosotros.

A nivel nacional, la empresa Claranet fue pionera en España en obtener la certificación PCI DSS 3.0 de Nivel 1, en el año 2014. Esta empresa creada en el año 1996, es un proveedor de servicios cloud, hosting y redes para empresas de sectores como viajes, ocio, educación, logística, marketing y e-commerce. Dicha certificación la consiguió, gracias al cumplimiento de los requisitos 9 y 12 del estándar, los asociados a la seguridad de acceso físico y al mantenimiento de una política de seguridad de la información [1].

Posteriormente otras empresas nacionales han ido adquiriendo la certificación de dicho estándar. Telefónica en el año 2009, Ia distribuidora de servicios hoteleros Idiso en el año 2010 [2] o la plataforma de pagos NetPlus de Indra en el 2014 [3] son ejemplos de empresas que han conseguido la certificación PCI DSS en nuestro país.

A pesar de que obtener la certificación PCI DSS pueda ser un punto a favor de la empresa, con respecto a la confianza de sus actuales y potenciales clientes, no todas las certificaciones se hacen públicas. VISA es la marca que mantiene la lista de empresas proveedores de servicios certificadas. En el caso de los comercios, no existe ninguna lista pública de empresas auditadas y solo reciben petición de sus ROC (Report On Compilance) por parte de las entidades adquirientes.

¿Y cómo se cumple con la normativa PCI DSS? ¿Qué requisitos definen el nivel de seguridad apropiado para cada empresa? Esta distinción ser realiza en función del volumen de transacciones y el modo de procesamiento de la información de las mismas. Vamos a comentar los niveles superficialmente:

  • Nivel 1: Dos distinciones. La primera, si se ha sufrido un ataque en el que se han comprometido los datos de las tarjetas; la segunda, si se superan un determinado número de transacciones en función del proveedor: más de 6 millones de transacciones VISA, MASTER o DISCOVER, más de 2,5 millones de transacciones AMEX o más de 1 millón de transacciones JCB. Además, es obligatorio someterse a una auditoría anual realizada por un QSA que elaborará un ROC para remitir al proveedor de tarjetas.
  • Nivel 2: Entre 1 y 6 millones de transacciones VISA, MASTER o DISCOVER, entre 50000 y 2,5 millones de transacciones AMEX o menos de 1 millón de transacciones JCB. Si se cumple este nivel, no es obligatorio someterse a una auditoría, aunque es necesario responder un cuestionario de evaluación SAQ (Self-Assessment Questionnaire).
  • Nivel 3:  Entre 20000 y 1 millón de transacciones VISA, MASTER o DISCOVER o menos de 50000 transacciones AMEX.
  • Nivel 4: El único requisito es rellenar el SAQ, aunque es recomendable realizar un escaneo trimestral de red para asegurar el nivel de seguridad [4].

¿Pero quién certifica realmente el cumplimiento del estándar? En otras palabras, ¿Quién o qué empresas son QSA en España? Desde la página oficial de PCI DSS, nos ofrecen una lista de todas las entidades que ofrecen este servicio y son válidas [5]. La primera empresa española en conseguir esta homologación fue Internet Security Auditors. A ella se le suman las siguientes:

  • A2 Secure.
  • Atos Consulting.
  • Internet Security Systems.
  • S21SEC Gestion.
  • SIA Grupo.
  • Verizon/CyberTrust.

Otra empresa homologada y reseñable, principalmente por su proximidad, sería ITS (Integrated Technology Systems), una empresa consultora y auditora situada en Mendaro, Guipúzcoa.

Un ejemplo reciente de renovación de la certificación PCI DSS, es la empresa Sipay Plus. Está empresa española de pasarela de pagos, ha obtenido hace apenas dos meses y por tercera vez consecutiva, la certificación de Nivel 1 de la última versión de PCI DSS, la versión 3.2. La auditoría que se le aplicó, fue llevada a cabo por A2 Secure, convirtiéndo de esta manera a Sipay Plus, en la primera empresa española de pasarela de pagos en obtener el máximo cumplimiento en materia de seguridad, en todas sus soluciones.

En conclusión, como podemos ver, existen evidencias de que el estándar PCI DSS se está aplicando en un ámbito más cercano a nosotros. En nuestro país existen tanto empresas que han sido certificadas por el cumplimiento del estándar, como empresas que juegan el papel de QSA y auditan y certifican a las anteriores. Por lo que, las empresas españolas están al día en cuanto a la aplicación y cumplimiento del estándar PCI DSS relativo a la seguridad de los datos asociados a tarjetas de crédito.


 

Referencias

[1] “Claranet obtiene la certificación PCI DSS 3.0 como proveedor de hosting y colocation”: https://www.claranet.es/about/news/proveedor-hosting-colocation-pci-dss-3-compliant.html

[2] “Idiso obtiene la Certificacion PCI DSS” : http://www.idiso.com/es/idiso-obtiene-la-certificacion-pci-dss.html

[3] “Indra obtiene la certificación de seguridad PCI DSS”: http://www.europapress.es/portaltic/empresas/noticia-indra-obtiene-certificacion-seguridad-pci-dss-20140312155253.html

[4] “¿Esta tu negocio preparado para cumplir la normativa PCI DSS?” : http://innovation.es/pci-dss/

[5] Qualified Security Assesors : https://www.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors

La realidad de PCI DSS

Download PDF

Continuando con la idea del anterior Post, me parece apropiado tratar la realidad de los estándares, en mi caso PCI DSS (Payment Card Industry Data Security Standard). Como todo estándar, y PCI DSS no es una excepción, define un conjunto de normas o directrices que definen aspectos de un área determinada. Pero indudablemente un estándar no es una ley que, si se aplica, se debe cumplir y si no habrá sanciones o multas. Para nada, simplemente son recomendaciones.

En líneas generales la normativa que rige PCI DSS está basada en los siguientes aspectos [1]:

  • Desarrollar y mantener una red segura, instalando y una configuración de firewall para proteger los datos del titular de la tarjeta y utilizando contraseñas de sistemas y otros parámetros de seguridad diferentes a los utilizados por defecto por los proveedores.
  • Proteger los datos del titular de la tarjeta de crédito, mediante el cifrado durante la transmisión de los mismos a través de redes públicas abiertas.
  • Mantener un programa de administración de vulnerabilidad, gracias a software antivirus y el desarrollo de código seguro para las aplicaciones.
  • Implementar medidas solidas de control de acceso, a través de restricciones de acceso a los datos según la necesidad de la empresa y asignando un ID exclusivo a cada persona que tenga acceso mediante un ordenador, además de restringir el acceso físico.
  • Supervisar y evaluar las redes con regularidad, mediante el rastreo y supervisión de todos los accesos a los recursos de la red y los datos.
  • Mantener una política de seguridad de la información.


Cada empresa que utiliza datos relacionados con las tarjetas de pago, es importante que siga las líneas generales del estándar PCI DSS, ya que, en gran manera, le garantiza cierto nivel de seguridad. De hecho, está comprobado, que las empresas que cumplen con PCI DSS, han conseguido minimizar en un porcentaje alto, el riesgo de pérdida o robo de los datos. Y no solo eso, sino que, cumplir con el estándar y que el QSA (Qualified Security Assessors) verifique dicho cumplimiento, proporciona cierto nivel de reputación a la empresa y la convierte en una compañía de confianza para los consumidores.

Un ejemplo reciente de empresa que cumple con PCI DSS es BlackMesh, que obtuvo el nivel 1 de certificación en el año 2015. Para las compañías que cumplen con el estándar, reunir los requisitos mínimos para obtener esta certificación, valida la seguridad de los procesos de pago de los sistemas e incrementa la protección de los datos de los titulares de las tarjetas [2].

En cambio, casos como el de la compañía Home Depot son muy significativos. Esta compañía, en el año 2014, fue víctima de un ciberataque, que permitió el acceso a datos de tarjetas de pago de 50 millones de usuarios de su sistema y que le supuso unas pérdidas de 19 millones de dólares [3]. Lo más llamativo de este caso, es que esta empresa cumplía con el estándar PCI DSS y tras el ataque, se comprometió a mejorar la seguridad de sus datos durante un periodo de dos años y a contratar a un especialista en seguridad, encargado de supervisar dichas mejoras.

Situaciones como la de Home Depot produce una sensación de vulnerabilidad en el resto de empresas que están cumpliendo el estándar y puede generar cierta alarma y confusión sobre cómo se están haciendo las cosas. Y, por consiguiente, son muchos los detractores y críticos que se pronuncian en contra del estándar. La mayoría de ellos opinan que, desde su creación, el estándar está orientado a la protección tanto de bancos como de proveedores de tarjetas de pago, de la responsabilidad que cae sobre ellos ante la pérdida o robo de los datos, dejando de lado a los comerciantes, que son los que realmente tiene que afrontar la situación. Una noticia de apenas 15 días, anunciaba que el proveedor de telas Vera Bradley, había sufrido un ataque en sus sistemas de pago, y algo muy significativo, la empresa no contaba con los mecanismos de detección apropiados y fue el FBI quien descubrió el problema y lo comunicó a la empresa [4].

Tal y como indican los expertos, los ataques no se hacen sobre un solo sistema, sino que se realizan en serie sobre múltiples vendedores, haciendo más difícil su detección. Además, cualquier punto en el ecosistema de pagos esta potencialmente en riesgo. Y es que sea cual sea el tamaño de la compañía, desde un minorista hasta grandes compañías están en riesgo. Podemos añadir más casos significativos a los anteriores, como los ataques a la cadena de comida rápida Wendy, al minorista de ropa Eddie Bauer y las cadenas de hoteles Hilton, Trump, Hutton, etc.

Por ello cada versión mejorada del estándar, en cierta manera es un alivio. Por ejemplo, en su última versión, se introdujo una novedad importante, como es la autenticación multifactor para cualquier usuario con permisos de administración de datos asociados a tarjetas, algo ya demandado por algunos expertos en seguridad. En versiones anteriores, este tipo de autenticación era necesaria únicamente en el acceso remoto a los datos, por lo que la seguridad de acceso no era la más apropiada [5].

El CTO de PCI SSC, Troy Leach, señala “El funcionamiento del estándar, siempre está acorde con los nuevos requerimientos en seguridad”. La evolución del estándar es muy sencilla: cada nuevo requisito definido, primeramente, se introduce como una buena práctica, de manera que las empresas se pueden ir preparando para adaptarse al cambio, y posteriormente, en la siguiente versión ya se introduce como una norma [5 bis].

En conclusión, sabemos que el estándar PCI DSS ayuda a las empresas a mantener los datos de los titulares de tarjetas de pago seguros y que obtener una certificación de su uso y aplicación, otorga cierto nivel de confianza por parte del consumidor, pero que desde luego casos como el de Home Depot, nos abren los ojos y nos hacen darnos cuenta de que nunca es suficiente, y que incluso los estándares no contemplan todas las posibilidades y riesgos que existen en los sistemas.


 

Referencias

[1] PCI DSS v3.0 Normas de seguridad de datos: https://es.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/en/docs/PCI_DSS_v3.pdf

[2] “BlackMesh Achieves PCI DSS Level 1 Certification”: http://search.proquest.com/docview/1735954442?OpenUrlRefId=info:xri/sid:primo&accountid=14529

[3] “Home Depot settels consumer lawsuit over big 2014 data breach” (Océano): http://www.reuters.com/article/us-home-depot-breach-settlement-idUSKCN0WA24Z

[4] “Retailed Vera Bradley: Payments System Hacked”: http://www.databreachtoday.com/retailer-vera-bradley-payments-system-hacked-a-9449

[5] “PCI DSS 3.2: The evolution continues”: http://www.csoonline.com/article/3083106/data-protection/pci-dss-3-2-the-evolution-continues.html

PCI DSS: Un aliado frente al ciberfraude

Download PDF

¿Cómo es posible que estés en tu casa y puedas reservar un hotel en la playa sin levantarte del sofá? ¿Cómo puedo ver el catálogo de productos de una marca de ropa y comprar un artículo introduciendo simplemente los datos de la tarjeta y sin firmar ningún resguardo? Son cuestiones que se plantean las personas mayores, como nuestros abuelos o incluso nuestros padres, que desconocen el mundo de la informática o que tienen nociones muy básicas sobre ella. No es sencillo explicárselo y que lo entiendan, pero pueden vivir sin comprenderlo, aunque ven el mundo tecnológico con cierta desconfianza, sobre todo a la hora de facilitar algunos datos personales necesarios en situaciones determinadas que los requieren, como por ejemplo, los datos asociados a sus tarjetas de pago en compras por Internet.

Desde los inicios de la humanidad, las personas se han visto obligadas a establecer relaciones económicas entre ellas para poder satisfacer sus necesidades básicas. Primero fue el trueque o intercambio de productos. Siglos más tarde llegó la moneda y el valor del dinero, y posteriormente mecanismos de pago más modernos como las tarjetas de crédito y débito. Con la llegada de Internet y de los ordenadores personales, primero las grandes multinacionales y después las pequeñas y medianas empresas, vieron la necesidad de anunciarse y promocionarse a través de ella. Poco después el comercio electrónico, las redes sociales, las comunicaciones móviles, los teléfonos inteligentes, etc, lo han vuelto a cambiar todo y se ha generado un abanico de posibilidades inimaginable hace unos pocos años.

Pero todo tiene su parte negativa. Los delincuentes han sabido adaptarse a los nuevos tiempos. Los primeros sistemas de pago conectados a Internet e implantados en tiendas virtuales eran muy básicos y sus mecanismos de seguridad muy precarios. Esta situación fue aprovechada por los ciberdelincuentes para apropiarse de millones de datos asociados a las tarjetas de pago con las que se habían efectuado transacciones. Dicho fraude supuso enormes pérdidas para las principales compañías que daban soporte a dichos sistemas de pago. Por lo que en el año 2006 Visa, MasterCard, American Express, Discover y JCB International formaron un comité denominado PCI SSC (Payment Card Industry Security Standards Council) para abordar el problema y definir una guía que ayudara a las organizaciones que procesan, almacenan y transmiten datos asociados a tarjetas de pago, con el fin de asegurar dichos datos y evitar los fraudes. Dichas directrices se aplicarían a todas las entidades involucradas en el procesamiento de las tarjetas de pago, incluyendo comerciantes, procesadores, adquirientes, emisores y proveedores de servicios. Fruto de estas directrices se definió la primera versión del estándar PCI DSS (Payment Card Industry Data Security Standard).

De acuerdo con el Privacy Rights Clearinghouse, más de 234 millones de registros con información sensible, han sido violados desde enero de 2005. El almacenamiento de datos sensibles sin las medidas de seguridad oportunas, expone a las empresas en mayor medida al fraude y a la piratería, de manera que aumenta el riesgo de tener que pagar miles de euros en daños y perjuicios al titular de la tarjeta afectado. Cumpliendo con el estándar PCI DSS, las empresas pueden disminuir en cierta medida dicho riesgo.

El PCI SSC cuenta con auditores autorizados conocidos como QSA (Qualified Security Assessor) que son los encargados de verificar periódicamente el cumplimiento del estándar PCI DSS por parte de las empresas que gestionan datos relacionados con las tarjetas de pago.

A lo largo de varios años, el PCI SSC ha hecho un trabajo encomiable en la definición y evolución de un conjunto coherente de normas, así como escuchar y adaptarse con el tiempo al feedback aportado por los comerciantes, bancos, proveedores de servicio y proveedores de tecnología” señala Derek Brink, vicepresidente de la compañía Aberdeen Group. Y seguramente tenga razón ya que, durante los últimos 10 años, dicho comité ha sabido adaptarse a los nuevos tiempos. De hecho, actualmente el estándar PCI DSS se encuentra en su versión 3.2 y continúa recibiendo actualizaciones.

La aplicación del estándar PCI DSS se trata de un proceso continuo de mejora en el que: primero se evalúan todos los procesos de negocio para analizar posibles vulnerabilidades que podrían exponer los datos de los titulares de las tarjetas; segundo, se presentan los registros de validación e informes de conformidad al banco adquiriente y a la compañía de tarjetas involucrada y finalmente se resuelven las vulnerabilidades y no se almacenan los datos de los titulares de la tarjeta a no ser que sea necesario.

Algunas empresas piensan el PCI DSS es un estándar difícil de aplicar y que requiere un esfuerzo enorme. Pero si se hace el ejercicio mental de imaginar cuáles podrían ser los daños directos y colaterales en caso de robo y/o pérdida de los datos de tarjetas confiados por clientes a una organización,  la posición y opinión respecto al estándar varía. Por otro lado, muchos comercios y proveedores de servicio grandes, medianos y pequeños han implementado de forma satisfactoria el estándar. En algunos de ellos probablemente la complejidad técnica sea más alta que la existente en su organización, pero aún así han realizado un análisis coste/beneficio y se han dado cuenta que es mejor implementar el estándar, que arriesgarse a perder su buena reputación y enfrentarse a multas y acciones legales.

Para concluir con este post me gustaría señalar que, a pesar de todas las medidas que se aplican para mejorar la seguridad en Internet y la legislación tan estricta que existe, lo que realmente suele suceder, es que los ciberdelincuentes siempre van un paso por delante. Con esto no quiero decir que robar datos sensibles y saltarse las leyes sea una tarea sencilla, y que los estándares y las medidas tomadas no sirven para nada. Todo lo contrario, la aplicación de estándares como el PCI DSS, en un ámbito tan sensible como los datos correspondientes a las tarjetas de pago, reduce las vulnerabilidades y riesgos de los sistemas que los gestionan, pero tampoco garantiza la total protección de los datos y correspondientemente de los usuarios, que son los que realmente sufren las consecuencias.

 

Referencias