Los Estándares de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) ison un estándar de Seguridad de la Información, creado por los cincoPrincipalesSistemas de Tarjetas, con la intención de reducir los riesgosasociados con las violaciones de seguridad, que puedenresultaren un compromiso de los datos, lo que enúltimainstancia conduce al usofraudulento de la información de las cuentas de pago.

pci-dss-3.2.png

El PCI DSS es sólo uno de una familia más amplia de normas de este tipo, que abordan diversos aspectos del ecosistema de pagos, como las aplicaciones de pago, los dispositivos de lectura de tarjetas, etc.

Con el fin de responder a estas numerosas normas y a la continua evolución de las amenazas y del panorama tecnológico, los esquemas de tarjetas han creado el Consejo de Normas de Seguridad PCI (SSC), que es un organismo abierto de ámbito mundial cuyo objetivo es desarrollar, evolucionar, mantener y difundir estas normas de seguridad para la seguridad de las cuentas de pago.

Las organizaciones que entienden la importancia de la seguridad de la información se esfuerzan por adherirse a estos estándares no sólo debido a las multas y sanciones asociadas con el incumplimiento, sino también debido a la comprensión del daño financiero y de reputación mucho mayor que puede resultar de una violación de la seguridad de la información que sea revelada públicamente.

La última actualización del estándar, PCI DSS 3.1, fue lanzada hace menos de un añoy fue introducida con el fin de eliminar gradualmente ciertas versiones de los protocolos utilizados para asegurar los pagos de comercio electrónico, por ejemplo, SSL v3.0 (Secure Sockets Layer), así como TLS v1.0 y v1.1 (Transport Layer Security), debido a defectos recientemente identificados. Anteriormente, ambos fueron dados como ejemplos de protocolos criptográficos fuertes hasta que se descubrió que estaban afectados por la vulnerabilidad de POODLE, por lo que el Consejo emitió una fecha límite para su sustitución.

¿Quécambiosintroducirá el PCI DSS 3.2?

Un cambio que se confirma es la ampliación del plazo para sustituir las versiones inseguras de SSL y TLS por sus equivalentes actuales y seguras, que se ha fijado en el 30 de junio de 2018. Lo que el Director Técnico del Consejo, Troy Leach, insinuó en una entrevista publicada en el blog en el sitio web del PCI SSC son algunos cambios potenciales adicionales que todavía están siendo evaluados:

  • Autenticación multifactorial adicional para administradores dentro de un entorno de datos del titular de la tarjeta (CDE)
  • "Algunos" de los criterios de ValidaciónSuplementaria de EntidadesDesignadas (DESV) pueden ser incorporados para los proveedores de servicios.
  • Se aclararán los criterios de enmascaramiento para los números de cuentaprimarios (PAN) cuando se muestren.
  • • El PCI DSS 3.2 tambiénincluirá las fechasactualizadas de migración SSL/TSL,, ya que el plazo para completar esta migración se amplióendiciembre de 2015 al 30 de junio de 2018.

Aunque todavía no son definitivas, son el resultado de la reacción del mercado, de los "ataques de moda que provocan compromisos" y de los informes forenses revisados por el Consejo.

En cuanto a la fecha en que las organizaciones pueden esperar que el PCI DSS 3.2 se despliegue, Troy Leach declaró que el Consejo probablemente publicará la revisión en la "primera mitad de 2016", con el objetivo de que se cumpla el plazo de marzo/abril. Esto se debe a que el SSC es "sensible a los cambios drásticos que están ocurriendo con la aceptación de pagos" (como el lanzamiento del chip EMV en Estados Unidos y los "avances en los pagos móviles"), pero al publicar la actualización del PCI DSS con "largas fechas de puesta en marcha", las organizaciones pueden "evaluar el caso de negocio para sus inversiones en seguridad".

¿Cómoprepararse para los cambios?

Aunque las revisiones del PCI DSS 3.2 todavía no se han detallado en su totalidad, las empresas pueden prepararse de otras maneras, asegurándose de que cumplen con el PCI DSS en su forma actual.

Lo mismo debería haber ocurrido en 2015 cuando, el 1 de julio, los comerciantes que utilizan dispositivos de lectura de tarjetas o terminales tuvieron que empezar a cumplir con el requisito 9.9. El requisito 9.9 del PCI DSS se hizo obligatorio tal y como se describe en la actualización del PCI DSS 3.1y se refiere a la supervisión continua de los terminales de lectura de tarjetas (PDV, PED, terminales de marcación autónomos, etc.). Para eso fue creada nuestra solución  ZeroRiskPINpointcomo una forma de poner en marcha el monitoreo continuo del terminal. Una solución desarrollada a medida para una de las nuevas reglas introducidas por la última versión del PCI DSS. ¿Está al día con la monitorización de sus dispositivos?

Además, como dice Troy Leach, las organizaciones también deberían tomarse el tiempo para evaluar sus inversiones en seguridad. Las inversiones en seguridad pueden incluir la contratación de profesionales de seguridad de TI de confianza y QSA (asesores de seguridad cualificados), como Advantio, para ayudarle a lograr el cumplimiento de PCI DSS y evaluar su estado de cumplimiento.

Marco Borza

Written by Marco Borza

I am the Founder of Advantio.
Technology has been my passion since I was a kid; when I first heard the handshake of an old 300bps modem I realised security would be key in an interconnected world. Since then it has become my passion and primary focus.
The reason why I've started my own business is to make IT Security simple.

Certifications: CISSP / CCSA (Checkpoint) / ITIL Foundations / ACSA (ArcSight)/ Linux+/ PCI-QSA / PA-QSA