El Bypass al cumplimiento de PCI DSS

Como profesional y estudiante permanente en seguridad de la información y ciberseguridad con frecuencia encuentro diferentes puntos de vista y criterios que enriquecen el debate respecto a la protección de la información y los datos, especialmente en un momento histórico para el mundo no solo por la creciente «Transformación digital» sino por la dificultad que atravesamos ante la situación de pandemia y que por lo tanto considero de suma importancia plantear este tipo de espacios para que entre todos los profesionales de la industria podamos construir más conocimiento. Hoy quisiera referirme a un tema de suma importancia para la economía y especialmente aquella relacionada con el comercio electrónico, siendo este uno de los canales de mayor crecimiento en la actualidad y por lo tanto con más probabilidad de materialización de riesgos de seguridad para las empresas y los usuarios, me refiero al cumplimiento o adopción de PCI DSS, a continuación me permito hacer una breve descripción del concepto asociado con el mismo para finalizar con la inquietud o «Preocupación» que me lleva a escribir estas líneas.

Desde el año 2004 las marcas de tarjeta de pago en el mundo (Visa, Amex, Master card, JCB, DISCOVER y Diners) quienes ya contaban con modelos o guías independientes de seguridad, decidieron crear un estándar o norma unificada como se conoce en el entorno regulatorio y de seguridad al PCI DSS (Estándar de seguridad de datos para la industria de pago con tarjeta), un marco o conjunto de buenas prácticas en seguridad de la información que tiene como objetivo proteger y limitar la información de titulares de tarjetas (crédito y débito) que se almacena, procesa o transmite en establecimientos de comercio y sus proveedores de servicios, especialmente aquella información que podría aumentar la probabilidad de materialización de eventos de fraude tales como el número primario de cuenta (PAN por sus siglas en inglés) y datos de seguridad como los códigos de 3 o 4 dígitos ubicados al reverso de la tarjeta conocidos como Card Verification Value (CVV) o Card Validation Code (CVC) cuya estructura y nombre varía de una marca de pago a otra, hasta información restringida como aquella incluida en los datos de banda magnética (tecnología vigente desde los años sesenta) y chip. De PCI DSS se derivan otros estándares complementarios y de suma importancia, entre otros como PCI PA-DSS o PCI PTS para la seguridad de aplicaciones de pago y dispositivos de interacción a través de PIN respectivamente. La norma PCI DSS desde entonces debe ser adoptada sin excepción a nivel mundial para cualquier organización sobre la cual recaiga su aplicabilidad.

PCI DSS se encuentra estructurado bajo seis (6) objetivos de control o dominios que a su vez se distribuyen en doce (12) requisitos y alrededor de 450 controles entre medidas técnicas y procedimientos de validación o gestión, lo que para muchos profesionales representa uno de los estándares más completos de toda la industria, no solamente por el número de controles que lo componen sino por el enfoque especializado de cada uno de ellos y que bien podrá aplicarse no solo a datos de titulares de tarjeta, sino a cualquier dato o información sensible al interior de una organización.

Regresando al objetivo de este articulo recordemos que PCI DSS se encuentra enfocado en proteger los datos de titulares de tarjeta que se almacenan, procesan o trasmiten dentro de cualquier proceso o actividad comercial, por lo tanto no solo es responsabilidad de un establecimiento comercial que recibe física o virtualmente pagos de sus productos o servicios el cumplimiento del estándar, sino de todos los proveedores de servicio o terceras partes involucradas en dichos procesos, para esto el PCI SSC (Consejo sobre Normas de Seguridad de la industria de pagos con tarjeta) ha definido una clasificación específica con base en el número de transacciones que se procesan anualmente u otros aspectos como la ocurrencia de situaciones, brechas o incidentes de seguridad que hayan derivado en materialización de fraude, incluso este nivel podrá ser determinado por una entidad financiera o banco adquiriente (un adquiriente es una institución financiera autorizada, que ayuda al establecimiento comercial a cumplir con su obligación de aceptar tarjetas de pago) de acuerdo con el nivel de riesgo que un establecimiento de comercio o proveedor de servicio pueda representar. Teniendo en cuenta lo anterior y con base en el marco de gestión del riesgo la Superintendencia Financiera de Colombia desde 2018 incluyó en la Circular Básica Jurídica (C.E. 029 de 2014) a través de la Circular externa 008 de junio de 2018 que fija los “requerimientos mínimos de seguridad y calidad para la realización de operaciones” la obligatoriedad de exigir el cumplimiento por parte de las entidades financieras vigiladas a todas las pasarelas de pagos y establecimientos de comercio de la norma PCI DSS certificado por una QSA (Empresa reconocida por el PCI SSC para avalar el cumplimiento y adopción adecuada de la norma PCI DSS), esto se traduce en la intención del regulador del sector financiero de fortalecer a todo el ecosistema asociado con el comercio electrónico y la industria de medios de pago, teniendo en cuenta que si bien la Superintendencia financiera no regula a las pasarelas de pago por ejemplo, estas juegan un papel determinante en el control del riesgo de toda la cadena de procesamiento de pagos electrónicos desde el usuario que realiza la transacción hasta el momento en el que es autorizada por la entidad financiera y las redes de procesamiento y finalmente compensada o acreditada en las cuentas del establecimiento comercial.

Dicho lo anterior la responsabilidad en la adopción e implementación de la norma PCI DSS parte de la responsabilidad del establecimiento comercial que desea brindar el canal para adquisición de bienes y servicios a través del pago con tarjetas crédito y/o débito y se extiende a todos sus proveedores de servicios, especialmente aquellos directamente relacionados con el almacenamiento, procesamiento o transmisión de los datos de tarjeta, sin desconocer por supuesto las normas y la regulación que así lo exigen. La industria de medios de pago como podemos ver es un ecosistema que tal vez parezca complejo en algunos casos pero que sin duda debe integrarse y engranarse de tal manera, que cada uno de los actores o partes interesadas sea responsable por la identificación y tratamiento de sus riesgos de forma independiente, sin perder de vista la cadena de procesos de la cual hace parte a nivel general.

Por lo anterior y a modo de conclusión principal del objetivo de este articulo quiero decir que en mi experiencia profesional de ninguna manera el cumplimiento de la norma PCI DSS por parte de alguno de los actores de la industria de pagos con tarjeta arrastra el cumplimiento de otro, es decir que el hecho de contar con una pasarela de pagos o proveedor certificado y en estricto cumplimiento de PCI DSS «NO» significa que un establecimiento comercial también este en cumplimiento, afirmar esto es ir en contravía de la esencia de la norma misma, la cual busca proteger y disminuir los riesgos asociados con la información de titulares de tarjetas desde la segmentación y control estricto del acceso a los datos, si bien contar con una pasarela de pagos certificada para el procesamiento de transacciones con tarjeta es una condición que puede disminuir el impacto de la aplicabilidad de controles no significa que de ello se logre el concepto de «estar en cumplimiento» o peor aún decir que se está «certificado», toda vez que aunque se está transfiriendo el riesgo en algunos aspectos, existirán otros a los cuales se les debe dar el tratamiento y atención tal cual lo establece la norma, tales como el establecimiento de políticas de seguridad, procedimientos de auditoria, gestión de incidentes, concientización del recurso humano entre otros, incluso pruebas de seguridad periódicas sobre la plataforma tecnológica que aunque no tenga una incidencia relevante sobre el procesamiento mismo de la transacción tampoco estará aislada de forma definitiva y podrá incluir escenarios de conexión hacia la pasarela o gateway de pago (por ejemplo redireccionamiento, API, Javascript, IFrame, etc) que pueden tener probabilidad de riesgos específicos derivados de la misma.

Finalmente quiero dejar la reflexión «No existe un Bypass para el cumplimiento de PCI DSS» cada organización es responsable por adoptar y certificar su cumplimiento de forma independiente aun cuando en su proceso de pago cuente con proveedores de servicio certificados incluso en los niveles más exigentes de la norma, recuerden que cada organización debe contar con su propio AoC (Declaración de cumplimiento) la cual podrá obtener a través de una auditoria en sitio, si así lo requiere su nivel de clasificación o por medio del diligenciamiento de un SAQ (Formulario o cuestionario de autoevaluación), pero sin olvidar que de no implementar y operar a conciencia cada uno de los controles requeridos, de nada servirá decir que «estamos certificados o en cumplimiento» ya que el riesgo seguirá teniendo un lugar acogedor para su materialización por la importancia que se le puede dar a tener un certificado simplemente y no a un sistema de gestión de seguridad considerado uno de los más robustos de la industria.

Espero de antemano este articulo sea de utilidad para todos los colegas y colaboradores de la industria y agradezco sus comentarios y apreciaciones para seguir enriqueciendo y fortaleciendo la cultura en seguridad de la información y Ciberseguridad. Un saludo cordial.

Fuente: ARTHUZ DIAZ ORTIZ

 

 

 

 

 

 

 

 

 

 

 

 

 

 

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

16 + dieciseis =

Entradas Relacionadas

Neurociberseguridad para no ser víctima de los ciberdelincuentes

Neurociberseguridad para no ser víctima de los ciberdelincuentes

La neurociberseguridad puede ser la respuesta a los ciberataques. Las empresas invierten millones de euros en herramientas de encriptación o de monitorización para evitar ser víctimas de ciberdelitos, pero descuidan una importante puerta de entrada a los hackers, el elemento humano, que se puede manipular psicológicamente para lanzar un ciberataque.

Los ciberdelincuentes se reinventan durante la pandemia a través de los códigos QR

Los ciberdelincuentes se reinventan durante la pandemia a través de los códigos QR

Entre las tecnologías que han experimentado un mayor auge durante la pandemia está la de los códigos QR. La búsqueda de alternativas a los documentos en papel para reducir el riesgo de contagio de la covid-19 ha disparado el uso de esta herramienta, que permite leer desde el móvil la carta de un restaurante o un programa cultural sin necesidad de pasarlo de mano en mano. Sin embargo, el éxito de dichos códigos ha llamado también la atención de los ciberdelincuentes.

Desafío geopolítico, floreciente negocio: la ciberseguridad atrae el dinero y el talento

Desafío geopolítico, floreciente negocio: la ciberseguridad atrae el dinero y el talento

No fueron ni China, ni Rusia, ni Irán, sino unos hampones que solo querían 4,4 millones de dólares. El 7 de mayo de 2021, los sistemas informáticos de la empresa Colonial Pipeline, que suministra casi la mitad de la gasolina y el combustible aéreo de la Costa Este de Estados Unidos, empezaron a dar problemas. La compañía decidió cortar el bombeo y pagar el rescate a los criminales que la habían asaltado. Estos le enviaron un software para restablecer, accidentadamente, los servicios.

Habla conmigo.