8 preguntas sobre PCI DSS que todo CISO debería poder responder

0
62

A finales de este año, se espera que el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS, por sus siglas en inglés) obtenga una actualización a la versión 4.0. Ha existido desde el 2001 y no recibe tanta atención en las noticias como los recién llegados, tales como el Reglamento General Europeo de Protección de Datos (GDPR) o la Ley de Privacidad del Consumidor de California (CCPA).

PCI DSS es muy relevante y se aplica a todas las empresas que aceptan pagos con tarjeta, tanto en línea como sin conexión. Estas son las preguntas que, con más probabilidades, enfrentan los CSOs cuando se trata de PCI.

¿Qué es PCI DSS?
PCI DSS es un estándar respaldado por todas las principales tarjetas de crédito y procesadores de pago que está diseñado para proteger los números de tarjeta de crédito. Especifica un conjunto de controles de ciberseguridad y prácticas comerciales, y requiere autoevaluaciones o auditorías externas. El grado de presentación de informes varía según el tamaño de la empresa.

«El beneficio para el comerciante, el proveedor de servicios y sus clientes, es un mayor enfoque en la seguridad de los datos”, señala David Ames, director del estudio de ciberseguridad y privacidad en PricewaterhouseCoopers.

Sin embargo, no siempre PCI parece ayudar. «A veces, los CISOs me dicen: ‘¿De qué sirve PCI? ¡La mayoría de las organizaciones cumplían con PCI cuando fueron vulneradas!’”, comenta Christopher Strand, director de cumplimiento de IntSights, compañía de consultoría y tecnología de seguridad y miembro del Consejo de los Estándares de Seguridad de la Industria de Tarjetas de Pago. Es posible que hayan pasado su última auditoría, pero ¿seguían cumpliendo las normas al momento del ataque? pregunta. «La realidad es que no estaban cumpliendo”.

¿Tenemos que cumplir con PCI DSS?
Toda empresa que acepte tarjetas de crédito, en cualquier parte del mundo, debe cumplir con PCI DSS. No importa las pocas transacciones que tenga. No importa si todos sus pagos son manejados por procesadores de pagos de terceros. No importa si la tarjeta de crédito nunca se almacena en sus servidores.

El cumplimiento de PCI es, en esencia, un acuerdo contractual entre una empresa y la institución financiera que maneja los pagos. Como resultado, anota Ames, los CSOs y CISOs deberían trabajar con el asesor legal de la compañía o el jefe legal para asegurarse de que todos estén en la misma página.

¿Qué sucede si no cumplimos con PCI DSS?
Las multas por incumplimiento pueden oscilar entre cinco mil y 100 mil dólares por mes, dependiendo del tamaño de su organización. Y si ocurre una violación, puede recibir una multa de hasta 500 mil dólares. Además, si una compañía no cumple con los requisitos en el momento de la violación, las compañías de seguros de ciberseguridad pueden negarse a pagar los reclamos, y el incumplimiento puede ser motivo de una demanda colectiva. Si las tarjetas comprometidas resultan en pagos fraudulentos, usted puede estar en la mira por las pérdidas por fraude.

Las empresas que no cumplen también corren el riesgo de perder su cuenta comercial, en cuyo caso no podrán aceptar pagos con tarjeta de crédito. Si su empresa se incluye en la lista de comerciantes cancelados, no podrá obtener otra cuenta comercial durante varios años.

Es difícil obtener una estimación exacta de cuánto le costará el incumplimiento, comenta Paul Cotter, arquitecto senior de seguridad de West Monroe Partners, una firma de consultoría tecnológica con sede en Chicago. «Mucha gente posee modelos patentados, incluyéndonos a nosotros”, añade. «Pero realmente uno no lo sabe hasta que llega el momento”.

Digamos, por ejemplo, que ocurre una violación. Ahora debe notificar a las personas afectadas y pagar los servicios de monitoreo de terceros. «Esos precios han bajado significativamente, pero aún debe pagarlos”, asegura Cotter. Luego está el costo de la investigación forense, que puede o no estar cubierta por una póliza de seguro cibernético. «El alcance de esas investigaciones en los últimos años ha aumentado dramáticamente”, señala. «Eso puede resultar en cantidades muy altas de dólares”.

También está el costo de solucionar los problemas que dieron pase a la violación. «Usted tiene la responsabilidad y la presión de remediarlo todo. Probablemente se le requerirá contratar a un asesor de seguridad calificado y pasar por una certificación completa de cumplimiento”, comenta Cotter.

¿Qué controles existen para garantizar que cumplamos con PCI DSS?
Todo esto suena serio, y dado que el PCI DSS ha existido durante casi 20 años, puede pensar que todos cumplen con los requisitos. ¿Lo hacen? «Por lo general, no”, señala Cotter. Su compañía es llamada regularmente para realizar auditorías de cumplimiento de PCI antes de fusiones o adquisiciones, y la mayoría de las empresas tienen algunas brechas de cumplimiento, afirma.

«Cuando se trata de PCI, es tan simple como cumplir o no cumplir”, indica Cotter. «Si le falta un solo control, se considera que no cumple”. Por ejemplo, Heartland Payment System tenía una certificación del cumplimiento de PCI DSS, pero en el momento de violación de seguridad del 2008, algunos controles de seguridad no funcionaban correctamente.

Un problema es que las cosas cambian. Un sistema que cumple al momento de una auditoría puede estar fuera de cumplimiento una semana después. «Tal vez una persona se saltea un chequeo de algo una semana o un mes”, anota Cotter. «O se dan alteraciones en la configuración”. Recomienda que las empresas establezcan procesos sólidos de gestión de cambios, combinados con un monitoreo continuo de controles y configuraciones.

Otro error que cometen las empresas es tratar de ahorrar dinero haciendo una autoevaluación en lugar de contratar a un profesional. Para las empresas que cuidan mantener la información de pago fuera de sus sistemas, una autoevaluación puede ser suficiente. «Si usted es lo suficientemente pequeño, es un tema por considerar en términos de ahorro de costos”, señala Cotter.

El problema es que los requisitos siempre cambian, y hay matices y prácticas recomendadas y pautas complementarias que no están en el estándar en sí. Además, las empresas que se autoevalúan usualmente se califican generosamente, señala Cotter. «Si hay una ambigüedad, la ven de la manera más halagadora posible”, asegura. «Podría gastarse 50 mil dólares en la contratación de un profesional, pero es posible que termine ahorrando a largo plazo”.

Según un informe publicado por Verizon a fines del año pasado, el cumplimiento de los estándares de seguridad de pago disminuyó por segundo año consecutivo, y solo es cumplido por el 37% en todo el mundo. En los Estados Unidos, las tasas de cumplimiento son aún menores: solo el 20,4%, anota Ciske Van Oosten, gerente senior de la división de inteligencia global en la práctica Security Assurance Consulting de Verizon.

Van Oosten está de acuerdo en que la disminución en el cumplimiento se debe principalmente a que las compañías no mantienen los controles después de que se completa la auditoría de cumplimiento. «Establecer los controles PCI DSS necesarios es solo la mitad del desafío”, señala. «La segunda mitad del desafío general es garantizar que todos los controles y el entorno en el que opera sean efectivos y se vuelva sostenible”.

PCI DSS especifica cientos de controles, señala. Y cuando un control se descompone, suele tener un efecto secundario en otros controles.

¿No podemos simplemente pagar la multa?
Con multas de hasta 100 mil dólares al mes, las multas por incumplimiento no son poca cosa. Y, por supuesto, el incumplimiento aumenta las probabilidades de una violación de datos, con todos los costos asociados.

«Tengo algunos clientes que pagan multas”, admite Peter Gregory, director ejecutivo de asesoría de riesgos de Optiv, una firma de consultoría de seguridad. «Pero no lo están haciendo como parte de su estrategia principal. Pagan las multas mientras trabajan para lograr el cumplimiento total”.

Si una organización decide deliberadamente no cumplir, las multas se hacen cada vez más grandes, señala Gregory. «Eventualmente, la organización tendrá que adoptar un enfoque diferente y cumplir”.

Renee Murphy, analista de Forrester Research, tiene una opinión diferente. No es que las empresas no puedan establecer los controles de seguridad para lograr el cumplimiento, señala. Es lo contrario. Con todas las reglamentaciones vigentes, las empresas tienen requisitos mucho más onerosos con los que lidiar. «Creo que probablemente están en el punto en que PCI es el menor de sus problemas”.

Es posible que las compañías que ya cumplen con otras regulaciones no quieran hacer otra prueba de penetración, y que otro auditor venga a hacer otra evaluación -y puede que sus bancos y proveedores de pagos no estén demasiado preocupados.

«PCI es una práctica bastante buena, pero de ninguna manera es la mejor práctica”, asegura Murphy. En algunos casos, PCI DSS tiene consejos cuestionables, como el requisito de cambiar las contraseñas cada 90 días.

«Pueden forzarlo a un arbitraje vinculante, pero no creo que nadie lo haga”, anota Murphy. «Si usted es parte del consejo de PCI, ¿realmente quiere comenzar esa pelea? Si pierde, nadie volverá a cumplir con PCI”.

Gregory de Optiv no está de acuerdo. «No necesita hacer una prueba por separado para cada regulación”, señala. «Puede hacer un examen de penetración, siempre que esa prueba única se realice de una manera que satisfaga a todas. Si tiene que cumplir con SOX [Sarbanes-Oxley] o ISO [International Organization for Standardization], hay tanta consistencia para tales estándares que, si hace una planificación inicial, puede llevar a cabo cosas que satisfagan diferentes requisitos”.

¿Qué hay de nuevo con PCI DSS 4.0?
Se espera el lanzamiento de PCI DSS 4.0 a finales de año, con requisitos más estrictos para la autenticación, y el cifrado y un enfoque en la seguridad cibernética como un proceso continuo, en lugar de una evaluación de cumplimiento anual o trimestral. Por otro lado, el nuevo estándar también les brindará a las compañías más flexibilidad al enfocarse en los resultados de los requisitos de seguridad cibernética, en lugar de en los detalles específicos de implementación.

«La nueva opción de validación les proporciona a las organizaciones la flexibilidad de adoptar un enfoque personalizado para demostrar cómo están cumpliendo con la intención de seguridad de cada requisito de PCI DSS”, comenta Emma Sutcliffe, jefa global de estándares en el PCI Security Standards Council, en un Q&A publicado en el sitio web de la organización. Por ejemplo, dice: «Para los requisitos de las contraseñas también hay modificaciones propuestas para acomodar diferentes opciones de autenticación”.

La organización acaba de completar una solicitud de comentarios sobre los cambios propuestos, anota Mark Meissner, vicepresidente de relaciones públicas del grupo. «Produjo la mayor respuesta en la historia de PCI DSS. Recibimos 3254 comentarios de 154 empresas”.

¿Qué debemos hacer para cumplir con PCI DSS?
Una vez que una empresa ha reducido el alcance del problema tanto como sea posible, a través del cifrado punto a punto, la tokenización y el outsourcing, el siguiente paso es garantizar que todos los controles adecuados estén en su lugar en los datos que quedan en el sistema. Las empresas deben tener cuidado para evitar un enfoque de cumplimiento al estilo de lista de verificación. «Desafortunadamente, hemos visto que concentrarse estrictamente en esfuerzos de cumplimiento independientes puede producir una falsa sensación de seguridad y una asignación inapropiada de recursos”, indica Ames de PricewaterhouseCoopers.

En cambio, PricewaterhouseCoopers recomienda un enfoque más integral y basado en el riesgo. «Utilice el PCI DSS como marco de controles de referencia que se complementa con prácticas de gestión de riesgos”, aconseja Ames. «Esto permite que el equipo comprenda dónde necesitan enfocar el esfuerzo en consonancia con el panorama de amenazas”.

Luego, las empresas deben asegurarse de contar con procesos para garantizar que sigan cumpliendo con los requisitos. Eso significa que necesitan una forma de monitorear los controles, para que, si uno falla, se realice un proceso para identificar y corregir el problema rápidamente.

¿Cómo podemos reducir nuestros costos de cumplimiento y exposición al riesgo?
Las pasarelas de pago de terceros a menudo se encargan de gran parte del desafío de cumplimiento de PCI, permitiéndole a usted almacenar tokens en lugar de datos reales de tarjetas de crédito para que pueda reducir su exposición. Si bien estos servicios pueden facilitar el cumplimiento, el dinero sigue siendo su responsabilidad.

Marc Rubenstein, director de operaciones de Salucro Healthcare Solutions, una compañía de pagos de atención médica, es particularmente sensible a los requisitos reglamentarios. «Salucro opera en la intersección de servicios de salud y financieros, dos industrias altamente reguladas”, señala. Además de PCI, la empresa también debe cumplir con otros marcos regulatorios, incluidos HIPAA, GDPR y CCPA. «Servimos a algunos de los sistemas de salud más grandes en los Estados Unidos y el extranjero”.

Según Rubenstein, la estrategia principal para reducir los gastos generales de cumplimiento y los riesgos de ciberseguridad, es tener la menor cantidad de datos de pago posible en los sistemas. «¿El cifrado punto a punto está completamente desplegado?”, él pregunta. «P2PE es el estándar de oro para mantener los datos confidenciales de pago fuera de la red de su organización”.

Los procesadores de pagos ofrecen una variedad de herramientas para ayudar a aislar a las empresas de los datos de pago. Por ejemplo, señala Rubenstein, la funcionalidad de pago de los proveedores puede integrarse en un iFrame.

Si bien los proveedores externos pueden reducir la carga del cumplimiento, las empresas aún tienen la obligación de elegir cuidadosamente a sus proveedores, asegura Rubenstein. «Además de P2PE, ¿qué otras medidas tienen implementados sus socios de tecnología de pago para mantener los niveles más altos de seguridad y cumplimiento?” pregunta. «Esto incluye la certificación HITRUST, auditorías anuales SOC 2 Tipo 2, y más. Los líderes deben solicitarles esta documentación a sus proveedores regularmente”.

Cuando se externaliza a un proveedor de pagos externo, las empresas también deben tener cuidado de no tener brechas. Tomemos el ejemplo de un pequeño comerciante que usa Square para pagos, anota Chip Wolford, director gerente en el estudio de seguridad y privacidad de Protiviti, una firma de consultoría con sede en Menlo Park. Podría surgir una situación en la que el comerciante retire los números de tarjeta de crédito manualmente para procesar los pagos en un momento posterior. «También nos encontramos con estos casos en grandes empresas”, afirma. «Se tienen procesos de pago dispares que evolucionan en la empresa”.

En particular, las empresas deben tener cuidado con los procesos manuales, tales como aceptar la información de la tarjeta de crédito por teléfono, correo electrónico o algún otro canal. De hecho, los procesos manuales son un peligro durante todo el proceso de cumplimiento de PCI. Las evaluaciones manuales basadas en encuestas, la supervisión manual de los controles de seguridad y la corrección manual dificultan el cumplimiento entre auditorías. Como en muchas otras áreas de ciberseguridad, las personas son el eslabón más débil.

Maria Korolov, CSOonline