Nuestro Blog

Negocio habilitado para la seguridad: PCI DSS

k

26 Mayo 2017

Balendra Elangco

Posts by authors: Balendra Elangco, Chief Security Architect, BT.

LinkedIn

Descubra por qué implementar PCI DSS es bueno para las empresas, especialmente para las pequeñas organizaciones.

PCI DSS – ¿'YATE'?

Las organizaciones que almacenan, procesan o transmiten tarjetas de pago deben cumplir con el estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS). ¿Pero es esto otra labor de la tick box (YATE)? ¡Lejos de ahí!

Para las organizaciones que tienen una postura de seguridad madura, este es solo otro riesgo con el que tienen que lidiar – junto con muchos otros requisitos de cumplimiento y regulación.

Pero para muchas organizaciones más pequeñas, las cuales no tienen otras obligaciones, PCI DSS puede ser utilizado para elevar su postura de seguridad. Después de todo, algunos de ellos están empezando desde una línea de base muy baja.

Las ventajas de PCI DSS.

Hay muchas ventajas a la hora de implementar PCI DSS. Los controles que deben implementarse son bastante prescriptivos y descriptivos. También busca un cumplimiento continuo a través de los requisitos de las actividades diarias, semanales, mensuales y anuales.

Al implementarlo correctamente, debe conducir a niveles más altos de seguridad a través de un análisis de vulnerabilidades, parches continuos, supervisión de eventos, revisiones de cortafuegos, revisiones de acceso de usuarios y así sucesivamente. Se requiere que una organización revise sus políticas de seguridad y realice anualmente una evaluación de riesgos.

Todo esto es con el fin de fortalecer la situación en seguridad de muchas pequeñas organizaciones.

La tentación Post- implementación.

Puede haber una tentación para muchos de tratar el PCI DSS como YATE, incluso después del minucioso esfuerzo inicial para implementar los controles y obtener el primer Attestation of Compliance (AoC). Ese es el verdadero peligro.

El mantenimiento de PCI DSS requiere de un esfuerzo continuo y recursos apropiados de seguridad multi-calificados. Una completa solución PCI DSS incluye cortafuegos, IDS / IPS (sistemas de detección / protección de delitos), sistemas de gestión de acceso e identidad (IAM), registro de eventos, sistemas de gestión de acceso privilegiado, exploración de vulnerabilidades y gestión de parches. Asimismo, como el mantenimiento de numerosos procesos, formación de personas y revisiones de documentación. Muchas organizaciones fallan en este sentido.

Una imagen cada vez más complicada.

Cada dos años los estándares se actualizan, y esto generalmente resultan actividades adicionales para mantener un nivel de control.

Muchas organizaciones han subcontratado su gestión de seguridad a proveedores de servicios de seguridad administrados y muchos más están considerando esta posibilidad para superar las brechas de recursos y habilidades. Agregando la adopción de la nube a esta mezcla, la imagen llega a ser incluso más confusa.

El PCI DSS se refiere servicios administrados por proveedores de hosting y de nube, así como proveedores de servicios, ya que almacenan, procesan o transmiten datos de tarjetahabientes en nombre de la entidad que solicitó su servicio. Por lo tanto, cualquier organización que utilice cualquiera de estos servicios, tendrá que asegurarse que el proveedor de este servicio se llevará a cabo de acuerdo a sus actividades en una forma compatible con PCI DSS.

El QSA (qualified security assessor) que evalúa el cumplimiento de PCI DSS de una organización también tendrá que evaluar a sus proveedores de servicios. Podría haber una serie de proveedores en una cascada de evaluación de cumplimiento. Esto puede ser muy complejo y largo.

Sin embargo, hay un vista esperanzadora. Si los proveedores de servicios son compatibles con PCI DSS y pueden producir su propia AoC, el trabajo del evaluador es menos complejo. El evaluador sólo necesita examinar estos CdA y no a las personas, procesos y tecnologías del proveedor de servicios.

El siguiente diagrama ilustra un escenario feliz:

Puede llegar a estar conforme con el PCI DSS para su red (LAN / WAN) y dispositivos de seguridad con la asistencia de una plataforma de gestión que cumpla con los requisitos de PCI DSS. Esta plataforma debe proporcionar su propia AoC, y usted debe ser capaz de utilizar el servicio con la confianza de que sus dispositivos serán administrados en una forma compatible con PCI DSS.

Usted también puede reducir considerablemente la carga de los estándares de cumplimiento con una solución de administración completa para dispositivos de red y seguridad que están dentro del alcance de PCI DSS.

Finalmente, debe tener en cuenta que puede transferir la responsabilidad de gestión de sus dispositivos, pero la responsabilidad general de demostrar el cumplimiento, sigue siendo suya. El riesgo no puede transferirse.

Descubra más acerca de la compatibilidad con PCI / DSS.