La normativa PCI DSS, o lo que es lo mismo Payment Card Industry Data Security Standard, son una serie de prácticas y controles de seguridad que desde 2004 las principales empresas de tarjetas de crédito decidieron que se debían implementar por las empresas que operan con “dinero plástico” para garantizar unos mínimos de seguridad contra el creciente fraude.
La creciente utilización del plástico como forma de pago, hizo que los principales operadores de tarjetas de crédito y débito (léase Visa, Mastercard, American Express,…) se pusieran serios, para promover la seguridad de los millones de operaciones que mediante tarjetas se realizan en el mundo.
A finales de 2010, esta normativa se actualizó, resultando de ella una aclaración de los puntos que anteriores versiones daban de los requerimientos PCI que las empresas y organizaciones que trabajan con dinero plástico debían cumplir.
Los requisitos demandados por las grandes multinacionales del crédito/débito son de obligado cumplimiento por las empresas que operan con las tarjetas. Si bien es cierto que estas obligaciones no son iguales para todos. Digamos que la mayoría de organizaciones empresariales, las que no superan las 8o.000 transacciones anuales por medios telemáticos con tarjeta de crédito/débito y no hayan padecido incidentes de seguridad, lo tienen un poco más fácil. Éstas, con adaptarse y cumplir los requerimientos mínimos PCI y realizar escaneos de red perimetrales trimestrales certificados por PCI, ya cumplen los requisitos que Visa, por ejemplo, le podrían exigir para permitirle seguir operando.
Y ¿cuáles son estos requisitos mínimos PCI de seguridad? Pues los enumero a continuación:
• Instalar y mantener una configuración de firewall para proteger los datos de las tarjetas.
• No usar contraseñas y otros parámetros de seguridad como vienen de fábrica (valores por omisión).
• Proteger los datos del titular de la tarjeta que fueron almacenados.
• Cifrar la transmisión de los datos de las tarjetas a través de redes públicas.
• Utilizar un software antivirus y actualizarlo regularmente.
• Desarrollar y mantener sistemas y aplicaciones seguras.
• Restringir el acceso a los datos de las tarjetas conforme a la necesidad de la empresa (need-to-know).
• Asignar nombres de usuario únicos a cada persona que tenga acceso al sistema.
• Limitar el acceso físico a los lugares donde se almacenen datos de las tarjetas.
• Rastrear y supervisar los accesos a los recursos de red y los datos de los titulares de las tarjetas.
• Probar los sistemas y procesos de seguridad regularmente.
• Mantener una política que aborde la seguridad de la información
Podemos bajarnos de la red cuestionarios de autoevaluación para ver “cómo andamos” en seguridad, pero seguramente, el profesional de la informática con el que habitualmente trabajamos, sabrá darnos soluciones al respecto. También podemos externalizar los controles y pedir asesoramiento QSA, nos evaluará el cumplimiento de la normativa PCI, o ASV, que nos evaluará nuestra vulnerabilidad.
Las opciones son múltiples, pero lo que sí es seguro es que será mejor adaptarnos a la normativa para evitar futuros problemas…