
PCI DSS v3.2; una herramienta más en el camino hacia la seguridad
Como ya veníamos anunciando desde hace unos meses, 2018 será un año de cambios y mejoras en relación a estándares y normativas de protección de información a nivel nacional e internacional, como el Reglamento General de Protección de Datos a partir del 25 de mayo de este año, o la obligada aplicación del estándar PCI DSS v3.2 a partir del pasado 1 de febrero.
El estándar PCI DSS (Payment Card Industry Data Security Standard o Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago, en español), se creó en 2006 a manos de un comité formado por las cinco principales compañías dedicadas a elaborar tarjetas bancarias (American Express, Discover Financial Services, JCB International, MasterCard y VISA), y se ha ido actualizando a través de distintas versiones, hasta llegar a la versión 3.2, que es de obligada aplicación a partir del pasado 1 de febrero de 2018.
El estándar de seguridad es aplicable a compañías que gestionan, procesan y/o almacenan datos relativos a tarjetas bancarias, y su objetivo principal es garantizar la seguridad de las operaciones y transacciones que se realicen mediante información de tarjetas bancarias, evitando así el fraude y los riesgos derivados de este tipo de actividad.
La última versión elaborada fue aprobada en octubre de 2016, pero no ha sido de obligada aplicación hasta el 1 de febrero de 2018, momento a partir del cual las novedades que incorporaba la versión 3.2 dejan de considerarse buenas prácticas y recomendaciones para pasar a ser requerimientos obligatorios.
Así pues, si nuestra compañía maneja datos de tarjetas bancarias, debemos cumplir con los requisitos que marca el estándar PCI DSS, que presentamos de manera general, y que son revisables conforme cada instalación, arquitectura y elementos de los que disponga la organización:
- Instalar, configurar, y mantener actualizado, un firewall, con el objetivo de proteger los datos de los titulares.
- Cambiar las claves de acceso y el resto de valores predeterminados que los proveedores proporcionen por defecto.
- Aplicar políticas y herramientas de identificación y gestión de roles para identificar a los usuarios con acceso a los datos.
- Mantener un registro de los accesos a los sistemas de información que contengan datos de los titulares.
- Restringir el acceso a datos de titulares a los datos imprescindibles y necesarios para el desarrollo de la función de trabajo.
- Implementar herramientas de monitorización y los consecuentes controles y alertas.
- No almacenar datos de autenticación de las tarjetas.
- Garantizar que los proveedores de servicios de TPV o almacenamiento de datos cumplen con los estándares PCI DSS.
- Aplicar un cifrado robusto para los datos de los titulares de las tarjetas, tanto en su almacenamiento como para cuando se realicen transmisiones a través de redes.
- Garantizar la seguridad de los datos de los titulares que hayamos almacenado, ya sea en sistemas propios o en proveedores de servicio externo.
- Disponer de antivirus, y mantenerlo actualizado con las últimas versiones y parches de seguridad.
- Cumplir los estándares de desarrollo para las aplicaciones y sistemas, y protegerlos con las medidas de seguridad adecuadas y necesarias.
- Realizar pruebas de vulnerabilidades periódicamente.
- Elaborar una política de seguridad y privacidad general para toda la compañía, que marque las directrices básicas a seguir.
Desde OptimumTIC ofrecemos soluciones e implementamos medidas aplicables a todo el reglamento a cumplir, ya sea en relación a herramientas FW de nextGeneration (PaloAlto, Fortinet), como aplicaciones de identificación de Accesos (IDM /IAM Manage Engine), sistemas de correlación de registros de Logs para conocer dichos accesos (SIEM de Fortinet), Sistemas de Antivirus y AntiMalware para los equipos y servidores (TRAPS), y sobre todo previo a una implementación pura tecnológica, revisamos y auditamos el proceso, para obtener la mejor optimización y homogeneidad con la infraestructura actual de la compañía, y revisamos y elaboramos las normas y políticas internas.
En este enlace a la página oficial del estándar PCI DSS podéis consultar de manera más específica los cambios y novedades que supone la nueva versión, así como otros documentos de interés:
Para más información y/o una demostración sin compromiso de nuestros servicios y herramientas puede ponerse en contacto con OptimumTIC mediante un correo electrónico a info@optimumtic.com.