14 mejores prácticas de cumplimiento PCI para tu negocio

He trabajado en la industria de pagos como administrador de sistemas durante más de 15 años y gran parte de mi carrera he trabajado con el cumplimiento de la Norma de Seguridad de la Industria de Tarjetas de Pago (PCI, por sus siglas en inglés), que se refiere a los requisitos de seguridad que involucran a las empresas que manejan datos de tarjetas de crédito.

14 mejores prácticas de cumplimiento PCI para tu negocio - Seguridad | Imagen 1 Newsmatic

Índice de Contenido
  1. ¿Qué es el cumplimiento PCI?
  2. 14 mejores prácticas de PCI para tu empresa
    1. 1. Conoce tu entorno de datos del titular de la tarjeta y documenta todo lo que puedas
    2. 2. Sé proactivo en tu enfoque e implementa políticas de seguridad en todos los niveles
    3. 3. Realiza investigaciones de antecedentes de los empleados que manejen datos de titulares de tarjetas
    4. 4. Implementa una autoridad centralizada de ciberseguridad
    5. 5. Implementa controles ambientales de seguridad sólidos
    6. 6. Implementa el acceso mínimo necesario
    7. 7. Implementa registros, monitoreo y alertas
    8. 8. Implementa mecanismos de actualización y parcheo de software
    9. 9. Implementa configuraciones estándar de sistemas y aplicaciones
    10. 10. Implementa una lista de verificación para empleados privilegiados que se den de baja
    11. 11. Implementa metodologías seguras de destrucción de datos
    12. 12. Realiza pruebas de penetración
    13. 13. Educa a tu base de usuarios
    14. 14. Prepárate para trabajar con los auditores

¿Qué es el cumplimiento PCI?

El cumplimiento PCI es una estructura basada en los requisitos exigidos por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago para garantizar que todas las empresas que procesan, almacenan o transmiten información de tarjetas de crédito mantengan un entorno operativo seguro para proteger sus negocios, clientes y datos confidenciales.

Las pautas, conocidas como Norma de Seguridad de Datos de la Industria de Tarjetas de Pago, fueron implementadas el 7 de septiembre de 2006 y directamente involucran a todas las principales compañías de tarjetas de crédito.

El PCI SSC fue creado por Visa, MasterCard, American Express, Discover y Japan Credit Bureau para administrar y gestionar la PCI DSS. Las empresas que cumplen con la PCI DSS tienen confirmada su cumplimiento PCI y, por lo tanto, son confiables para llevar a cabo negocios.

Todos los comerciantes que procesan más de 1 millón o 6 millones de transacciones de tarjetas de pago al año, y los proveedores de servicios que retienen, transmiten o procesan más de 300,000 transacciones de tarjetas al año, deben ser auditados para cumplir con la PCI DSS. El alcance de este artículo está destinado a las empresas sujetas a estas auditorías anuales.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Vale la pena señalar que el cumplimiento PCI no garantiza protección contra violaciones de datos de la misma manera en que una casa en cumplimiento con las regulaciones de incendios no está completamente protegida contra un incendio. Simplemente significa que las operaciones de la empresa están certificadas como cumpliendo con estrictos estándares de seguridad para brindar a estas organizaciones la mejor protección posible contra las amenazas y generar el mayor nivel de confianza entre su base de clientes y los requisitos regulatorios.

El incumplimiento de los requisitos de PCI puede resultar en multas financieras sustanciales, desde $5,000 hasta $100,000 por mes. Las empresas que cumplen con el cumplimiento y sufren violaciones de datos pueden enfrentar multas significativamente reducidas después de los incidentes.

14 mejores prácticas de PCI para tu empresa

1. Conoce tu entorno de datos del titular de la tarjeta y documenta todo lo que puedas

No puede haber sorpresas cuando se trata de implementar el cumplimiento de PCI; todos los sistemas, redes y recursos deben ser analizados y documentados exhaustivamente. Lo último que quieres es un servidor desconocido funcionando en algún lugar o una serie de cuentas misteriosas.

2. Sé proactivo en tu enfoque e implementa políticas de seguridad en todos los niveles

Es un gran error abordar la seguridad del cumplimiento de PCI como algo que se puede "añadir" o aplicar según sea necesario. Los conceptos deben estar integrados en todo el entorno de forma predeterminada. Elementos como requerir autenticación de múltiples factores para entornos de producción, utilizar HTTPS en lugar de HTTP y SSH en lugar de Telnet, y exigir cambios periódicos de contraseñas deben ser aplicados de antemano. Cuanto más centrada en la seguridad esté tu organización, menos trabajo se deberá hacer después de que se haya completado la auditoría.

3. Realiza investigaciones de antecedentes de los empleados que manejen datos de titulares de tarjetas

Todos los posibles empleados deben ser minuciosamente evaluados, incluyendo verificaciones de antecedentes para aquellos que trabajarán con datos de titulares de tarjetas, ya sea directamente o en una posición administrativa o de soporte. Cualquier solicitante con un cargo grave en su registro debe ser rechazado para el empleo, especialmente si involucra delitos financieros o robo de identidad.

4. Implementa una autoridad centralizada de ciberseguridad

Para cumplir con el cumplimiento de PCI de manera óptima, necesitas un cuerpo centralizado que sirva como autoridad de toma de decisiones para todos los esfuerzos de implementación, gestión y corrección. Esto suele ser el departamento de TI y/o ciberseguridad, que debe contar con empleados capacitados en este campo y conocedores de los requisitos de PCI.

Cómo proteger tu computadora de los virus: métodos y consejos

5. Implementa controles ambientales de seguridad sólidos

En todos los aspectos posibles que manejen sistemas de datos de titulares de tarjetas, debes utilizar controles de seguridad sólidos. Utiliza firewalls, NAT, subredes segmentadas, software antivirus, contraseñas complejas (no utilices contraseñas predeterminadas del sistema), cifrado y tokenización para proteger los datos de los titulares de tarjetas.

Como consejo adicional, utiliza un alcance tan limitado como sea posible para los sistemas de datos de titulares de tarjetas, redes y recursos dedicados para minimizar el esfuerzo involucrado en asegurar un conjunto de recursos lo más mínimo posible.

Por ejemplo, no permitas que las cuentas de desarrollo tengan acceso al entorno de producción (o viceversa), ya que ahora el entorno de desarrollo se considera dentro del alcance y está sujeto a una seguridad más estricta.

6. Implementa el acceso mínimo necesario

Utiliza cuentas de usuario dedicadas al realizar tareas administrativas en sistemas de datos de titulares de tarjetas, en lugar de cuentas de root o administrador de dominio. Asegúrate de que solo se otorgue el acceso mínimo a los usuarios, incluso a aquellos en roles de administrador. Cuando sea posible, haz que dependan de "cuentas de nivel de usuario" y "cuentas privilegiadas" separadas que solo se utilicen para realizar tareas con un nivel de privilegio elevado.

7. Implementa registros, monitoreo y alertas

Todos los sistemas deben confiar en el registro de datos operativos y de acceso a una ubicación centralizada. Este registro debe ser completo pero no abrumador, y se debe implementar un proceso de monitoreo y alerta para notificar al personal adecuado sobre actividades verificadas o potencialmente sospechosas.

Ejemplos de alerta incluyen demasiados intentos fallidos de inicio de sesión, cuentas bloqueadas, una persona que inicie sesión en un host directamente como root o administrador, cambios de contraseña de root o administrador, cantidades inusualmente altas de tráfico de red y cualquier otra actividad que pueda constituir una posible o incipiente violación de datos.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

8. Implementa mecanismos de actualización y parcheo de software

Gracias al Paso 1, sabes qué sistemas operativos, aplicaciones y herramientas se están ejecutando en tus datos de titulares de tarjetas. Asegúrate de que se actualicen periódicamente, especialmente cuando aparezcan vulnerabilidades críticas. El departamento de TI y ciberseguridad deben suscribirse a las alertas de los proveedores para recibir notificaciones de estas vulnerabilidades y obtener detalles sobre la aplicación de parches.

9. Implementa configuraciones estándar de sistemas y aplicaciones

Cada sistema construido en un entorno de datos del titular de la tarjeta, así como las aplicaciones que se ejecutan en él, deben formar parte de una construcción estándar, como a partir de una plantilla en vivo. Debe haber la menor cantidad posible de disparidades y discrepancias entre los sistemas, especialmente los sistemas redundantes o en clúster. Esa plantilla en vivo debe actualizarse y mantenerse periódicamente para garantizar que los nuevos sistemas producidos a partir de ella estén completamente seguros y listos para implementarse.

10. Implementa una lista de verificación para empleados privilegiados que se den de baja

Demasiadas organizaciones no llevan un seguimiento adecuado de las salidas de los empleados, especialmente cuando hay departamentos y entornos dispersos. El departamento de recursos humanos debe ser responsable de notificar a todos los propietarios de aplicaciones y entornos sobre las salidas de los empleados para que se pueda eliminar por completo su acceso.

El departamento de TI y/o ciberseguridad, deben compilar y mantener una lista de verificación general de todos los sistemas y entornos en los que los empleados manejan datos de tarjetas de crédito, y se deben seguir todos los pasos para garantizar la eliminación del acceso al 100%.

No se deben eliminar las cuentas; en su lugar, se deben deshabilitar, ya que a menudo se requiere que los auditores de PCI demuestren que las cuentas están desactivadas.

Para obtener más orientación sobre cómo incorporar o retirar a los empleados, los expertos de Newsmatic Premium han creado una lista de verificación conveniente para ayudarte a comenzar.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

11. Implementa metodologías seguras de destrucción de datos

Cuando se eliminen datos de titulares de tarjetas, según los requisitos, debe haber un método de destrucción de datos seguro. Esto puede implicar procesos basados en software o hardware, como la eliminación de archivos o la destrucción de discos/cintas. A menudo, la destrucción de medios físicos requerirá evidencia para confirmar que se ha realizado adecuadamente y ha sido testigo.

12. Realiza pruebas de penetración

Organiza pruebas de penetración internas o externas para verificar tu entorno y confirmar que todo está suficientemente seguro. Preferirías encontrar problemas que puedas corregir de forma independiente antes de que un auditor de PCI lo haga.

13. Educa a tu base de usuarios

La capacitación integral de los usuarios es esencial para mantener operaciones seguras. Entrena a los usuarios sobre cómo acceder o manejar datos de titulares de tarjetas de manera segura, cómo reconocer amenazas de seguridad como estafas de phishing o ingeniería social, cómo proteger sus estaciones de trabajo y dispositivos móviles, cómo usar autenticación de múltiples factores, cómo detectar anomalías y, sobre todo, a quién contactar para informar cualquier sospecha o confirmación de violaciones de seguridad.

14. Prepárate para trabajar con los auditores

Ahora llega el momento de la auditoría, donde te reunirás con una persona o equipo cuyo objetivo es analizar el cumplimiento PCI de tu organización. No te pongas nervioso ni aprensivo; estos profesionales están aquí para ayudarte, no para espiarte. Proporciona todo lo que te pidan y solo lo que te pidan, sé honesto pero minimalista. No estás ocultando nada, solo estás entregando la información y respuestas que satisfacen suficientemente sus necesidades.

Además, conserva pruebas como capturas de pantalla de configuraciones, informes de vulnerabilidad del sistema y listas de usuarios, ya que pueden ser útiles para enviar en futuras auditorías. Aborda todas sus recomendaciones de remedios y cambios lo más rápido posible y prepárate para presentar pruebas de que este trabajo se ha completado.

Chequea a fondo cualquier cambio propuesto para asegurarte de que no afecten negativamente a tu entorno operativo. Por ejemplo, he visto escenarios en los que se solicitó eliminar TLS 1.0 a favor de versiones más nuevas de TLS, pero aplicar esta recomendación habría interrumpido la conectividad de los sistemas heredados y causado una interrupción del servicio. Esos sistemas tuvieron que ser actualizados primero para cumplir con los requisitos.

Cómo configurar un servidor VPN para hacer conexiones a través de firewalls

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a 14 mejores prácticas de cumplimiento PCI para tu negocio , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.