Auditoría PCI DSS: que no te roben la tarjeta
La auditoría PCI DSS se ha convertido en una herramienta estratégica para verificar que los controles técnicos de seguridad protegen los datos de los titulares de las tarjetas de pago
Es un hábito de nuestro tiempo. El comercio electrónico y el pago con tarjeta se han instalado en el día a día de millones y millones de personas al calor de la digitalización. La pandemia ha acelerado además algunos cambios en los hábitos de consumo directamente relacionados con los sistemas de pago digitales. Por todo ello, proteger los datos de los titulares de las tarjetas de crédito y débito se ha convertido en una cuestión central para empresas, entidades financieras, ciudadanos… Una prioridad que tiene en la auditoría PCI DSS un aliado estratégico.
Una medida de prevención que garantiza que la salvaguarda de una información tan sensible se lleva a cabo de manera óptima.
Lo cierto es que son muchas las bondades que tienen las tarjetas de crédito y débito. Entre ellas, y aunque pueda parecer pueril, está la libertad de poder circular por el mundo sin dinero físico encima. Si se une este hecho a la comodidad para comprar en Internet, a la trazabilidad de nuestros movimientos o a la posibilidad de llevar la tarjeta en el móvil gracias a la tecnología NFC, la ecuación que explica su éxito queda completa.
Proteger los datos de pago con una auditoría PCI DSS
Esta relevancia económica y social tiene que ir unida a un control riguroso de su funcionamiento. Sobre todo, en lo relativo a la protección de datos. Puesto que, si toda la información personal o empresarial es sensible, la de carácter económico y financiero lo es aún más.
Además, si no se fortifican los sistemas de ciberseguridad, se pueden abrir las puertas a fraudes y sustracciones de dinero. Con consecuencias catastróficas tanto para los titulares de las tarjetas, como para las entidades bancarias o ecommerce involucradas en la transacción.
De ahí que sea fundamental contar con estándares a nivel mundial que garanticen las buenas prácticas en materia de seguridad de las tarjetas. Y que, a su vez, incluyan una serie de requisitos que las plataformas de comercio electrónico y bancos deben cumplir y que puedan ser sometidos a revisión. Un pilar más en el camino para proteger los sistemas de las entidades financieras y el desarrollo de auditorías de seguridad en entornos bancarios avanzados.
Este papel es el que juega la auditoría PCI DSS. Una supervisión exhaustiva de los controles técnicos de seguridad de las tarjetas de pago que se basa en los estándares PCI DSS.
¿Qué significan esas seis letras?
Un estándar global obligatorio
Son las siglas de Payment Card Industry Data Security Standard. Un estándar de seguridad de aplicación global, desarrollado a iniciativa de las principales compañías de tarjetas de crédito y débito (Visa, Mastercard, American Express…) para garantizar la protección de los datos de pago de sus clientes.
Los requisitos del PCI DSS obligan a todas aquellas organizaciones involucradas en las transacciones con tarjetas. Así, deben someterse a una auditoría de seguridad PCI DSS los sistemas de toda organización que procese, transmita o almacene información de tarjetas de pago.
Estamos hablando de entidades financieras y bancarias, plataformas de comercio electrónico o aplicaciones que gestionen pagos. Todas ellas deben realizar o contratar una auditoría PCI DSS, periódicamente. Este tipo de revisión técnica es la encargada de certificar la adecuación de los sistemas a los requisitos y metas del estándar.
De lo contrario, las compañías estarán exponiendo a sus clientes a posibles fraudes y vulneraciones de sus datos. Y, con ellos, pondrán en la picota a sus propios negocios. Puesto que una persona que ha sido víctima de un ataque a sus datos bancarios, no está dispuesta a volver a confiar en la entidad encargada de gestionarlos y protegerlos.
Metas y requisitos PCI DSS
El estándar PCI DSS se sustenta, en su versión actual, la 3.2.1., sobre 12 requerimientos, agrupados en seis metas concretas que cubren los principales aspectos de ciberseguridad en materia de tarjetas de crédito y débito:
- Meta 1. Crear y mantener una red segura. Este objetivo se logra a través del cumplimiento de dos requisitos. Por una parte, hay que instalar y mantener una configuración de cortafuegos para proteger los datos de los titulares de las tarjetas. Y, por otra, no se pueden utilizar los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
- Meta 2. Proteger los datos de los titulares de las tarjetas. Para cumplir con esta meta hay que garantizar la protección de los datos almacenados del titular y cifrar su transmisión a través de redes públicas y abiertas.
- Meta 3. Contar con un programa de gestión de vulnerabilidades. Éste se articula sobre dos requisitos: utilizar y actualizar periódicamente el software antivirus y desarrollar y mantener sistemas y aplicaciones seguras.
- Meta 4. Implementar fuertes medidas de control de acceso. Esta meta contiene tres requisitos. El primero es restringir el acceso a los datos de los titulares de las tarjetas según la necesidad de información de la empresa. El segundo, asignar una identificación única a cada persona con acceso a los datos. Y el tercero, restringir el acceso físico a los datos de los titulares de las tarjetas.
- Meta 5. Monitorear y testear las redes regularmente. Para ello hay que supervisar todos los accesos a los recursos de la red y a los datos de los titulares de las tarjetas. Así como probar periódicamente los sistemas y procesos de seguridad.
- Meta 6. Tener una política de seguridad de la información, que aborde la protección de los datos tanto para empleados como para contratistas.
Auditoría de seguridad PCI DSS trimestral
Para garantizar el cumplimiento de los requisitos y la consecución de las metas, se exige que se realice una auditoría PCI DSS cada trimestre. De cara a evaluar la infraestructura de cada organización.
Para facilitar la revisión, el propio PCI especifica los requisitos a través de sub-requisitos. Estos, a su vez, llevan asociados los procedimientos de prueba que hay que ejecutar para ver si se cumplen o no. Y, finalmente, se incorpora un apartado de guía por cada ítem, en el que se especifica su relevancia y el motivo por el que se contempla el requerimiento en cuestión.
A partir de estos mimbres, el análisis puede efectuarse a través de dos modalidades plenamente diferenciadas:
- Revisión externa ASV. Es una auditoría de seguridad que se realiza sobre los sistemas sujetos a PCI y accesibles a internet. Esta modalidad va dirigida a las aplicaciones web (portales ecommerce, webs transaccionales) y lleva a cabo, también, una comprobación de seguridad de las direcciones IP de la infraestructura. Tarlogic Security hace uso de soluciones de proveedores de escaneo certificados (ASV) autorizados por PCI.
- Revisión interna. Consiste en una auditoría interna de los sistemas, que valida la exposición de servicios, parches y mecanismos de seguridad desplegados.
Test de intrusión anual
Anualmente, es necesario llevar a cabo un test de intrusión con un alcance más amplio que el de las revisiones anteriores. Este tipo de acción también hay que planificarla y ejecutarla cuando cambia la infraestructura que sustenta la gestión de pagos y procesado de tarjetas.
El test de intrusión se realiza siguiendo las pautas del estándar NIST 800-115. Y engloba tres ámbitos:
- Test de seguridad externo PCI. Se realiza con excepciones temporales en los elementos de seguridad perimetral. Sirve para analizar de forma adecuada el nivel de seguridad de los sistemas informáticos de la organización.
- Test de seguridad interno PCI. Se lleva a cabo desde diferentes segmentos de red con distintos niveles de privilegios (planes o redes inalámbricas) sobre los sistemas internos.
- Test WiFi PCI. Mediante este test se hace uso de software WiFi capaz de identificar y geolocaliza cualquier dispositivo de emisión WiFi en el perímetro de la organización y del centro de procesamiento de datos donde residan los sistemas afectados por PCI DSS.
En definitiva, la auditoría PCI DSS es un conjunto de revisiones y testeos que garantizan que los controles técnicos de protección de los datos de pago son robustos y están plenamente optimizados.
Una herramienta obligatoria y extremadamente útil para contribuir a la seguridad en las transacciones económicas mediante tarjetas. Y que certifica que las organizaciones que procesan, tramitan y almacenan datos financieros extremadamente sensibles cumplen los requisitos globales PCI DSS.
Descubre nuestro trabajo y nuestros servicios de ciberseguridad.