Alcanzarel estándar PCI DSS es relativamente complejo para cualquier organización, especialmente para aquellas que actualmente no operan de acuerdo con los estándares de la industria. El nivel de complejidad aumenta exponencialmente cuando se trata de configuraciones de comerciantes heterogéneos.

Cada jefe de seguridad de la información entiende que cuantas más piezas móviles, más complicado se vuelve un sistema. Del mismo modo, cada "parte" adicional se convierte en otra superficie de ataque potencial, o en una oportunidad para la fuga de datos.

Para un comerciante independiente con un solo punto de venta, la seguridad es conceptualmente sencilla. Cada tienda sólo necesita proteger adecuadamente la información personal entre el punto de venta, los sistemas de en las oficinas y los bancos Emisor y Adquisidor. Para los minoristas con varios locales, la red es más grande en escala, pero los puntos de contacto básicos siguen siendo los mismos.

Estandarizado, homogeneizado, simplificado

Para las organizaciones -incluidas las que gestionan varios puntos de venta o sitios web-, la seguridad puede simplificarse mediante la implementación de elementos comunes de infraestructura. Por ejemplo, el uso de los mismos terminales de pago, puntos de venta y sistemas reduce drásticamente la complejidad y los gastos administrativos.

Se trata de física cuántica; todos los jefes de seguridad de la información/directores técnicos estandarizarían los recursos y procesos en la medida de lo posible para cualquier aspecto de la infraestructura de TI corporativa. Lamentablemente, esto no siempre es posible. Las adquisiciones, fusiones y crecimiento orgánico de la red hacen que muchas organizaciones con múltiples comerciantes utilicen una amplia gama de sistemas y servicios.

Diversidad y seguridad de los comerciantes

PCI DSS, RGPD y otras normas del sector no tienen en cuenta la diversidad de la infraestructura de redes de pago. En su lugar, estos marcos se ocupan de la protección de datos personales y de definir las expectativas y las mejores prácticas: la aplicación depende del comerciante o vendedores, lo que hace que cada entorno no normalizado se convierta en un proyecto por sí solo, lo que aumenta los costes y el esfuerzo de forma espectacular.

Cuando la estandarización de la infraestructura no es una opción, el jefe de seguridad de la información debe ser más creativo a la hora de abordar la seguridad. La sustitución de elementos clave del proceso de pago por alternativas basadas en la nube es un paso obvio hacia la estandarización, ya que, por ejemplo, requiere menos despliegue y configuraciones in situ.

Una vez más, esto puede que no sea una opción, en cuyo caso se debe prestar atención a la seguridad de lo que ya existe. Además, el PCI DSS requiere pruebas periódicas de las disposiciones de seguridad para identificar las deficiencias y las oportunidades de mejora.

La manera más eficaz de tratar con la seguridad de los comerciantes múltiples es "agrupar" las ubicaciones/marcas en función de los elementos comunes. Luego se puede crear procesos de prueba y documentación para cada grupo sin perder de vista las numerosas "partes móviles" implicadas.

Cuandotengadudas, busqueayuda

En un mundo ideal, el Jefe de seguridad de la información y el Director Técnico podrían reemplazar la infraestructura existente en múltiples comercios con el fin de crear un único diseño de sistema común para cada uno de ellos. En realidad, el costo de tal estrategia es exorbitante, lo que obliga a las empresas a pensar lateralmente en la forma de recolectar y monitorear la seguridad.

Ante las dificultades cotidianas de la gestión de la seguridad de varios establecimientos comerciales, el Jefe de seguridad de la información puede perder rápidamente de vista el panorama general. Cuando esto sucede, a veces conviene dar un paso atrás y buscar el asesoramiento de un tercero que pueda ofrecer una opinión neutral junto con una gran tecnología, para ayudar a formular e implementar un plan de acción.

Para organizar una revisión imparcial de las disposiciones de seguridad de sus comerciantes y para entender cómo el portalZeroRisk para MPA (Autoridades del Portafolio de Comerciantes) puede ayudarle a mejorar la seguridad cibernética y la resilienciamientras reduce suscostes,por favor póngase en contacto con nosotros..

 

Marco Borza

Written by Marco Borza

I am the Founder of Advantio.
Technology has been my passion since I was a kid; when I first heard the handshake of an old 300bps modem I realised security would be key in an interconnected world. Since then it has become my passion and primary focus.
The reason why I've started my own business is to make IT Security simple.

Certifications: CISSP / CCSA (Checkpoint) / ITIL Foundations / ACSA (ArcSight)/ Linux+/ PCI-QSA / PA-QSA