La implementación de los controles de seguridad que se describen en los estándares del PCI SSC le permiten a una organización prepararse para prevenir, detectar y actuar en el caso de un potencial incidente de seguridad relacionado con datos de tarjetas de pago. Sin embargo, la seguridad no es perfecta y es necesario establecer una serie de pautas para gestionar las posibles excepciones que se puedan presentar y actuar de forma coordinada y efectiva para evitar que el impacto de dichos incidentes afecte la operación de la organización.

Es por ello que el estándar PCI DSS (por poner un ejemplo puntual) contiene un requerimiento específico (req. 12.10) para definir un plan de respuesta a incidentes. No obstante, uno de los principales problemas que se encuentran en la definición de este plan es la asignación de roles, la interacción con proveedores de servicio, marcas de pago, pasarelas de pago, clientes afectados, las entidades de investigación y la prensa, así como la activación de los protocolos de recuperación del negocio y continuidad.

Es por ello que en septiembre de 2015 el PCI SSC publicó el documento “Responding to a Data Breach: A How-to Guide for Incident Management“, que incluye los siguientes puntos:

  • Implementar un plan de respuesta a incidentes
  • Limitar la exposición de datos
  • Notificar a los socios de negocio (marcas de pago, bancos, pasarelas de pago, etc.)
  • Gestionar los contratos con terceros
  • Identificar un PFI (Payment Card Industry Forensic Investigator)

El último punto (Identificar a un PFI) requiere de una gestión específica, ya que solamente determinadas empresas homologadas pueden realizar las tareas de investigación forense. Para ello, en el mismo documento se especifica:

  • Cuándo involucrar a un PFI en la investigación
  • Qué esperar de una investigación de un PFI después de un compromiso de datos de tarjetas
  • Qué tipo de soporte obtener por parte de un PFI

Y adicionalmente se enumeran unas pautas importantes para trabajar de forma coordinada con el PFI:

  • Preservación de evidencia
  • Permitirle el acceso a las ubicaciones físicas del entorno
  • Obtener el soporte y colaboración del personal
  • Enviar retroalimentación al PCI SSC acerca del trabajo del PFI como elemento de mejora continua del programa

Por otro lado, se listan las páginas web de las marcas de pago relacionadas con la gestión de incidentes, uno de los elementos clave en el programa de respuesta a incidentes:

Finalmente, un consejo que nunca sobra:

PREPARARSE PARA LO PEOR ES LA MEJOR DEFENSA

Como siempre, les invitamos a participar en el foro o dejar un comentario en este artículo si se tiene alguna duda, comentario o sugerencia. No olviden seguirnos en Twitter, LinkedIn, Facebook, Google+ y vía RSS.