Acropolis

PCI DSS ha sido el resultado de múltiples esfuerzos orientados hacia la definición de un marco de trabajo común para la implementación de controles de seguridad en la protección de datos de tarjetas de pago. Se trata de un estándar bastante complejo, que abarca controles lógicos, físicos, documentales y administrativos a ser desarrollados de forma trasversal en la organización y que implica a proveedores y a otros terceros relacionados con el fin de garantizar un nivel de seguridad homogéneo no solamente en la propia organización sino también en aquellas entidades con las que se comparten los datos de tarjeta para crear un entorno seguro por donde fluyen los datos de la transacción.

Sin embargo, ya sea por desconocimiento del estándar o por radicalización de sus conceptos, se puede caer en malas interpretaciones y en “creencias” injustificadas del alcance y resultados a ser obtenidos, lo cual redunda en falsas sensaciones de seguridad, proyectos mal dimensionados y problemas en la implementación de controles de protección de datos de tarjetas. Por ello, es necesario partir del principio que ningún control o estándar garantizará la seguridad absoluta. Al contrario, lo que se intenta es gestionar el potencial riesgo de una forma metodológica y alineada con los objetivos de la organización.

Con el fin de realizar algunas aclaraciones al respecto, el PCI SSC publicó en el 2008 el documento “Ten Common Myths of PCI DSS, cuyo contenido es la base del presente artículo.

MITO 1: Un vendedor y/o un producto garantizan el cumplimiento total del estándar

silver-bullet

Tal como se describía anteriormente, PCI DSS contempla una serie de controles físicos, lógicos, administrativos y documentales que involucran una gran cantidad de procesos, tareas y áreas dentro de la organización y en sus proveedores. Es por ello que la totalidad del estándar no puede ser cubierta por una única solución específica. Por otro lado, cada organización tiene sus particularidades en términos operativos y de infraestructura y los niveles de cumplimiento son diferentes en función de su negocio, con lo cual la sola idea de una solución “perfecta” es una quimera.

Muchos vendedores o productos se aprovechan del desconocimiento respecto a la norma y suelen promocionarse como una solución completa para PCI DSS, pero esto no es más que una estrategia de mercadeo falsa. Dependiendo del tipo de solución se pueden cubrir una serie de requerimientos específicos, pero no el estándar completo.

Finalmente, el PCI SSC no avala, aprueba o certifica productos de seguridad tales como antivirus, cortafuegos, sistemas de detección de intrusos o FIM (File Integrity Monitoring). Cada organización – en función de sus necesidades y con el soporte de un QSA – está en la libertad de escoger la solución que más se adapte a su entorno, siempre y cuando cumpla con el objeto del requerimiento. Más información en la FAQ “Does PCI SSC endorse specific products to meet PCI DSS requirements?”.

MITO 2: Delegar en un tercero el procesamiento de tarjetas garantiza el cumplimiento del estándar

give_card

Dentro de las estrategias de gestión del riesgo de tarjetas de pago se encuentra la “transferencia” de dicho riesgo a un tercero. En este caso, la contratación de un servicio a un proveeedor (outsourcing) que se encargue del procesamiento, transmisión y/o almacenamiento de datos a nombre de la organización permite delegar este riesgo a un tercero. Es obvio que ésta estrategia es óptima para la minimización y simplificación del entorno de cumplimiento, pero no excluye  a la organización contratante del cumplimiento.

La empresa contratante debe validar de forma anual que su proveedor cumple con PCI DSS en los servicios contratados, que se cuenta con un acuerdo por escrito con este proveedor para garantizar su adherencia a los controles del estándar, que las aplicaciones de pago que emplea en su entorno cumplen con los criterios del PCI SSC y que cualquier elemento logístico que se pueda encontrar involucrado directa o indirectamente en el flujo de la transacción con tarjetas de pago se encuentra securizado.

En función de la cantidad de transacciones anuales de la organización y las responsabilidades delegadas al proveedor (outsourcing), la empresa debe reportar su cumplimiento a las marcas empleando un SAQ (Self-Assessment Questionnaire – Cuestionario de Autoevaluación) o mediante una auditoría.

MITO 3: El cumplimiento de PCI DSS es un proyecto exclusivo de tecnología

computer

Uno de los errores más comunes cometidos por organizaciones que se encuentran en la implementación de controles de PCI DSS es el de asumir que el cumplimiento de este estándar es una responsabilidad del área de tecnología. Lamentablemente cuando se emplea este planteamiento, los proyectos suelen fracasar. La razón: el cumplimiento de PCI DSS es una labor multidisciplinaria que involucra no solamente a las áreas de Tecnología, sino también a Recursos Humanos, Contratación, Finanzas, Legal y obviamente a la Dirección, ya que sin su soporte el proyecto no tendría la prioridad necesaria para ser desarrollado.

De igual forma, este no es un proceso que se ejecuta una única vez, sino que es un proyecto cíclico de mejora continua en la empresa, tal como se describe en “El círculo de Deming (o círculo PDCA) y la gestión de PCI DSS“.

MITO 4: PCI DSS garantiza la seguridad absoluta

robocop

Uno de los errores más graves en los que puede incurrir una organización posterior a la certificación de PCI DSS es pensar que con este certificado se encuentra segura. Una auditoría de PCI DSS valida el estado de los controles implementados en la empresa en un momento específico (X), pero dadas las cualidades dinámicas de la seguridad de la información, las amenazas y vulnerabilidades del entorno pueden cambiar en el momento X+1, en donde posiblemente los controles anteriores ya no sean suficientes. Es por ello que a pesar que la auditoría o reporte de cumplimiento se realice de forma anual, la labor de mantenimiento de controles ha de ser lineal en el tiempo para gestionar cualquier potencial riesgo que se pueda presentar en el futuro.

MITO 5: PCI DSS es excesivo, requiere demasiado trabajo

Atlas2

Cuando se cuenta con una cantidad importante de dinero físico (billetes y monedas), se deben implementar una serie de controles para evitar que sea robado, perdido o gastado por terceros no autorizados. Para ello, se adquieren cajas de seguridad, se deposita el dinero en un lugar seguro como un banco, se usa video vigilancia y se contratan guardias en el peor de los casos, lo cual implica una inversión económica, de esfuerzo y de tiempo. Ahora bien,  si sabemos que una tarjeta de pago es “dinero electrónico” con la misma funcionalidad que el dinero físico, ¿por qué no emplear el mismo criterio en la protección de dichos datos?.

Cuando un cliente realiza una transacción electrónica empleando una tarjeta de pago, está confiando en un tercero para que procese dicha transacción, entregándole los datos de su tarjeta. Aquí hay una cadena de confianza que “presupone” que cada eslabón garantiza un nivel de seguridad tolerable al cliente final. Si nos basamos en este criterio, el objetivo de PCI DSS es el de enumerar una serie de controles específicos para la protección de dichos datos durante todo el proceso de la transacción. No se trata de tecnologías imposibles, sino de las medidas necesarias para que dicha confianza permanezca vigente, que – al igual que con el dinero físico – requiere de tiempo, dinero y esfuerzo.

MITO 6: PCI DSS requiere contratar a un Qualified Security Assessor

Matrix_Agents

Un QSA (Qualified Security Assessor) es un profesional homologado por el PCI SSC para la realización de auditorías de PCI DSS, PA DSS y P2PE. Sin embargo, durante un proceso de implementación de controles, no es necesario (aunque sí recomendable) que se cuente con un profesional QSA. Para ello, el PCI SSC cuenta con dos programas que permiten validar el conocimiento de un profesional en los estándares del Council, que pueden apoyar a la empresa internamente en este proceso:

  • Internal Security Assessors (ISAs)
  • Payment Card Industry Professional (PCIP)

En el caso de comercios pequeños o medianos, el reporte de cumplimiento se puede llevar a cabo a través de un formulario de autoevaluación, que puede ser desarrollado por personal interno de la empresa con conocimiento del estándar (no necesariamente un QSA).

MITO 7: No se procesan muchas tarjetas, con lo cual no se requiere cumplir

baby2

PCI DSS es un estándar orientado a la protección de datos de tarjetas de pago en comercios y proveedores de servicios. El estándar ha de ser cumplido independientemente de si se procesan una o millones de transacciones, básicamente porque se requiere gestionar de forma homogénea el riesgo asociado al dato de la tarjeta a lo largo de todos los elementos involucrados en la transacción.

El nivel de reporte puede variar entre cada una de las marcas de tarjetas de pago en función de la cantidad de datos de tarjeta procesados anualmente, lo cual no implica que se tenga que obviar su cumplimiento.

MITO 8: Se garantiza un cumplimiento con el relleno de un SAQ

ComplianceIcon

Un SAQ (Self-Assessment Questionnaire – Cuestionario de Autoevaluación) le permite a comercios y proveedores de servicio medianos y pequeños reportar su nivel de cumplimiento con el estándar posterior a un ejercicio de autoevaluación. Bajo este criterio, toda la responsabilidad de cumplimiento y la validación del mismo corren por cuenta de la propia organización. Por condiciones prácticas se realiza esta tarea de esa forma, pero a menos que exista un incidente y se haga una validación forense posterior, no hay forma de garantizar dicho cumplimiento por parte de un tercero independiente.

De igual manera – y tal como se explicó en el MITO 4: “PCI DSS garantiza la seguridad absoluta” – la labor de reporte es una vez al año, pero el cumplimiento es una tarea diaria, centrada en la gestión de los potenciales riesgos que día a día se vayan identificando en la plataforma.

MITO 9: PCI DSS obliga a almacenar datos de tarjetas

Grillete

PCI DSS debe ser cumplido en aquellos comercios y proveedores de servicio en los cuales se procesen, transmitan o almacenen datos de tarjetas de pago pertenecientes a las marcas asociadas al Council. Si estos datos no existen en los procesos de la organización, el cumplimiento de PCI DSS no es necesario. Bajo este concepto, la primera estrategia dentro de un proceso de implementación es eliminar cualquier dato de tarjeta que no se requiera por consideraciones de negocio, para minimizar el potencial alcance de cumplimiento.

Al ser así, el PCI SSC y el estándar PCI DSS recomiendan que si por consideraciones de negocio no se requieren datos de tarjetas, se eliminen de los procesos asociados y bajo ningún criterio obliga al almacenamiento de los mismos.

MITO 10: PCI DSS es MUY difícil

escalador

Por sentido común, si un objeto no tiene un valor práctico para una persona, simplemente no se implementará ningún control para protegerlo. Ocurre lo contrario cuando se trata de un elemento con alguna importancia para el mismo individuo. En este caso, se incurrirá en una inversión económica, de tiempo y/o de esfuerzo para gestionar cualquier riesgo que lo pueda afectar.

En el caso de las tarjetas de pago, muchas veces se piensa que es un estándar muy difícil y que requiere de bastante esfuerzo. Pero si se hace el ejercicio mental de imaginar cuáles podrían ser los daños directos y colaterales en caso de robo y/o pérdida de los datos de tarjetas confiados por clientes a nuestra organización, seguramente la posición y opinión respecto al estándar variaría.  Un dato confidencial como un número de tarjeta de pago requiere de controles específicos para su protección, que no son los mismos que se le aplicarían a un dato sin importancia para la empresa.

Por otro lado, muchos comercios y proveedores de servicio grandes, medianos y pequeños han implementado de forma satisfactoria el estándar. En algunos de ellos probablemente la complejidad técnica sea más alta que la existente en nuestra organización, pero aún así han realizado un análisis coste/beneficio y se han dado cuenta que es mejor implementar el estándar (con todos los costes que ello conlleva) que arriesgarse a perder su buen nombre, arriesgarse a multas e investigaciones forenses y acciones legales en caso de fraude con datos de tarjeta.