▪ El estándar PCI SSC se asegura de que los usuarios no tengan que enfrentarse a fraudes, robos de identidad y otros problemas por mal uso de información privada.
▪ La tasa de cumplimiento del estándar PCI SSC es baja en instituciones y negocios que no pertenecen a la banca o al sector financiero.
▪ Guardicore, ahora parte de Akamai, compartió cinco razones por las que la microsegmentación es vital en el cumplimiento de estándares como PCI DSS.
El número de transacciones con tarjeta de crédito tanto en establecimientos tradicionales como en comercio electrónico cada vez es más común y ha crecido a la par que los defraudadores han ampliado sus objetivos, exigiendo a las empresas ser más responsables con los datos y la seguridad de los tarjetahabientes. Estándares como PCI DSS juegan un papel importante en la protección de datos de los usuarios, sin embargo atraviesa problemas de adopción.
“El estándar Payment Card Industry Data Security Standard, conocido como PCI DSS, es un requisito para todas las entidades que almacenen, procesan o transmiten información de tarjetahabientes; además aplica no solo para las grandes empresas, sino también para los pequeños negocios que permiten pagos con tarjetas de crédito. El PCI SSC se asegura de que los usuarios no tengan que enfrentarse a fraudes, robos de identidad y otros problemas por mal uso de información privada”, informó Oswaldo Palacios, Director de Guardicore, ahora parte de Akamai,
para Latinoamérica norte.
De acuerdo con el último reporte de la firma Statista, en 2020 las tarjetas de crédito (32%) y débito (28%) fueron los métodos de pago preferidos utilizados por los latinoamericanos para realizar compras en línea, con alrededor del 60% de los compradores en línea que afirmaron haberlos utilizado para el comercio electrónico durante la pandemia de COVID-19. Paralelamente, el fraude alcanzó su pico pandémico a un nivel 220% mayor que en la época anterior a la pandemia, situación que estuvo acompañada de una transformación en los tipos de ataques que enfrentan los retailers, según un informe publicado por Signifyd.
A decir de Oswaldo Palacios, la tasa de cumplimiento del estándar PCI SSC es baja en instituciones y negocios que no pertenecen a la banca o al sector financiero, lo que podría incrementar la vulnerabilidad de las operaciones de las empresas. El directivo precisó que a medida que las normas de cumplimiento se vuelven cada vez más estrictas, las consecuencias de fallar en una auditoría van mucho más allá de un dolor de cabeza burocrático. Además de dañar su imagen pública, podrían estar sujetas a sanciones financieras e incluso a la suspensión total de sus operaciones comerciales hasta que se hayan implementado medidas de seguridad.
El estándar PCI SSC, enfocado en la protección de los datos del titular de la tarjeta tanto como de los datos confidenciales de autenticación, tiene seis categorías, 12 requisitos, 200 controles y 250 procedimientos que garantizan que los datos en las tarjetas sean confidenciales. Las empresas tienen que someterse a auditorías periódicas para garantizar que se está cumpliendo con las normas; existen cuatro niveles de auditoría y éstas dependen de la cantidad de transacciones anuales que haga la empresa en cuestión.
Microsegmentación, vital en el cumplimiento de PCI DSS
La microsegmentación proporciona a los auditores internos de PCI, a los administradores de TI y sus equipos de operaciones de red, visibilidad de todo el entorno asimismo ayuda a detectar infracciones y diseñar, planificar e integrar los cambios necesarios para el cumplimiento de PCI DSS en las actividades comerciales habituales.
Guardicore, ahora parte de Akamai, compartió cinco razones por las que la microsegmentación es vital en el cumplimiento de estándares como PCI DSS.
1) La microsegmentación ayuda a reducir el alcance. Para ser considerado fuera del alcance de PCI DSS, un componente del sistema debe estar correctamente aislado del entorno de datos del titular de la tarjeta (CDE), de modo que incluso si el componente del sistema fuera del alcance se vio comprometido, no podría afectar la seguridad del CDE.
2) Para PCI-DSS, la microsegmentación proporciona un mayor nivel de seguridad en todos los sistemas importantes de su red. También evita que los atacantes realicen movimientos laterales dentro de su red, girando peligrosamente desde un área fuera del alcance a una que pueda alcanzar su CDE.
3) El estándar PCI DSS dicta que se deben implementar funciones de seguridad más profundas para lo que ellos llaman servicios o protocolos «inseguros». Un ejemplo de esto podría ser usar una VPN para compartir archivos. El uso de un motor de políticas flexible es un elemento importante de un enfoque de microsegmentación listo para el cumplimiento. Esto permitirá validar el acceso administrativo a cada sistema y restringir protocolos específicos para usar medidas de seguridad adicionales.
4) Las empresas deberán tener varios controles de seguridad para establecer que cumplen con las regulaciones de estándares complejos como PCI DSS. Por ejemplo, cuando está empleando la microsegmentación para cumplir con las regulaciones, necesitará un firewall distribuido para separar el CDE de otras aplicaciones, así como el monitoreo de integridad de archivos en su propio CDE. Para el mapeo y la documentación, se beneficiará de una poderosa visibilidad a nivel de proceso en el tráfico y los flujos de datos.
5) La microsegmentación no solo ayuda a garantizar que la configuración del firewall cumpla con los criterios correctos para un estándar externo o una política de seguridad interna, sino que una auditoría de firewall también puede desempeñar un papel importante en la reducción de los factores de riesgo generales y, de hecho, mejorar el rendimiento del firewall y la red mediante la inclusión de tareas específicas. Por último, Oswaldo Palacios dijo que el cumplimiento de PCI debe formar parte integral de la cultura de aquellas empresas que acepten pagos con tarjetas de crédito y débito, acompañado de la implementación de una solución de seguridad que emplee microsegmentación para ayudarlos al cumplimiento de estándares como PC DSS y que puede ser una herramienta poderosa que proporciona control total sobre el tráfico que atraviesa en sus ecosistemas de TI híbrido.
