La implementación de los controles de seguridad que se describen en los estándares del PCI SSC le permiten a una organización prepararse para prevenir, detectar y actuar en el caso de un potencial incidente de seguridad relacionado con datos de tarjetas de pago. Sin embargo, la seguridad no es perfecta y es necesario establecer una serie de pautas para gestionar las posibles excepciones que se puedan presentar y actuar de forma coordinada y efectiva para evitar que el impacto de dichos incidentes afecte la operación de la organización.
Todos los artículos de la serie "Análisis de incidentes con tarjetas de pago":
- ¿Cómo proceder ante un compromiso de datos de tarjetas de pago?
- 11 formas mediante las cuales se pueden robar tus datos de tarjeta de pago y cómo protegerte
- Si usas Magento, PrestaShop, WooCommerce u otro CMS en tu sitio web de comercio electrónico, puedes estar en riesgo
- Si cumplo con PCI DSS, ¿Podría verme afectado por ransomware?
- El incidente de OnePlus y su relación con PCI DSS
- Las lecciones que nos deja el incidente de Ticketmaster
- En relación con el incidente de robo de tarjetas ocurrido en Chile, ¿Los bancos afectados deberían cumplir con PCI DSS?
Es por ello que el estándar PCI DSS (por poner un ejemplo puntual) contiene un requerimiento específico (req. 12.10) para definir un plan de respuesta a incidentes. No obstante, uno de los principales problemas que se encuentran en la definición de este plan es la asignación de roles, la interacción con proveedores de servicio, marcas de pago, pasarelas de pago, clientes afectados, las entidades de investigación y la prensa, así como la activación de los protocolos de recuperación del negocio y continuidad.
Es por ello que en septiembre de 2015 el PCI SSC publicó el documento “Responding to a Data Breach: A How-to Guide for Incident Management“, que incluye los siguientes puntos:
- Implementar un plan de respuesta a incidentes
- Limitar la exposición de datos
- Notificar a los socios de negocio (marcas de pago, bancos, pasarelas de pago, etc.)
- Gestionar los contratos con terceros
- Identificar un PFI (Payment Card Industry Forensic Investigator)
El último punto (Identificar a un PFI) requiere de una gestión específica, ya que solamente determinadas empresas homologadas pueden realizar las tareas de investigación forense. Para ello, en el mismo documento se especifica:
- Cuándo involucrar a un PFI en la investigación
- Qué esperar de una investigación de un PFI después de un compromiso de datos de tarjetas
- Qué tipo de soporte obtener por parte de un PFI
Y adicionalmente se enumeran unas pautas importantes para trabajar de forma coordinada con el PFI:
- Preservación de evidencia
- Permitirle el acceso a las ubicaciones físicas del entorno
- Obtener el soporte y colaboración del personal
- Enviar retroalimentación al PCI SSC acerca del trabajo del PFI como elemento de mejora continua del programa
Por otro lado, se listan las páginas web de las marcas de pago relacionadas con la gestión de incidentes, uno de los elementos clave en el programa de respuesta a incidentes:
- VISA Inc.: Data Compromise Procedures
- MasterCard: Account Data Compromise Best Practices
- American Express: Data security is a good business
- JCB
- Discover: Network Data Security, email
Finalmente, un consejo que nunca sobra:
PREPARARSE PARA LO PEOR ES LA MEJOR DEFENSA
Como siempre, les invitamos a participar en el foro o dejar un comentario en este artículo si se tiene alguna duda, comentario o sugerencia. No olviden seguirnos en Twitter, LinkedIn, Facebook, Google+ y vía RSS.
