En temas de brechas de seguridad, ninguna industria es completamente segura. Según el Breach Level Index 2018, las industrias financiera, minorista, tecnológica y hotelera representan un increíble 26% de las brechas de ciberseguridad en el mundo. 

¿Alguna vez se ha preguntado si las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) se ocupa de la seguridad de los datos de los titulares de las tarjetas en diferentes sectores de forma coherente como un mandato de cumplimiento universal? En Advantio creemos que cada proyecto debe ser abordado con la mejor comprensión posible de las características específicas del negocio y de la industria del cliente para realizar una evaluación de cumplimiento PCI DSS de la manera más eficiente. Por lo tanto, a partir de septiembre de este año publicaremos unos cuantos blogs separados en los que discutiremos los retos específicos de la industria que afectan al cumplimiento de PCI DSS para comercio electrónico, centros de llamadas, comercio minorista, hostelería, cajeros automáticos, emisores y adquirentes.

Examinaremos diferentes tipos de implementación de comercio electrónico, como redirecciones de URL, iFrame, Direct Post Method (DPM), formularios JavaScript, Interfaz de Programación de Aplicaciones (API), soluciones de comercio electrónico totalmente subcontratadas y su impacto en el esfuerzo de validación del cumplimiento de PCI DSS.

En cuanto a los centros de llamadas y su ruta de cumplimiento PCI DSS, analizaremos la protección de los datos de los titulares de tarjetas telefónicas, los promedios de rotación de personal y su impacto en los procesos, y los detalles específicos del Protocolo de Voz sobre IP (VoIP).

Los retos del PCI DSS en el sector minorista se cubrirán con una revisión más detallada de las soluciones de cifrado punto a punto (P2PE) y de las soluciones de cifrado no listadas.

La industria hotelera también está sujeta a los estándares de seguridad de datos de los titulares de tarjetas PCI, incluyendo el almacenamiento de datos confidenciales de autenticación antes de la autorización, por ejemplo, las reservas de hotel se realizan con bastante antelación. De hecho, esta área no está cubierta por PCI DSS, salvo el requisito de no almacenar datos de autenticación confidenciales después de la autorización.

Los entornos cajeros automáticos también están sujetos a restricciones muy específicas en lo que se refiere al cumplimiento de PCI DSS debido a la dispersión geográfica, la tendencia al uso de sistemas operativos obsoletos y los ataques de malware dirigidos.

Por último, los emisores y los adquirentes, como dos pilares del ciclo de vida de las transacciones con tarjetas de pago, suelen tener un enfoque específico en cuanto a la validación del cumplimiento del PCI DSS. Los adquirentes, en primer lugar, deben ocuparse de sus comerciantes, mientras que los emisores se aseguran de que los datos de autenticación sensibles estén protegidos en consecuencia (un área en la que el PCI DSS carece de detalles específicos).

Entonces, ¿está listo para aprender más sobre las peculiaridades de PCI DSS en diferentes industrias? El primer blog de la serie está dedicado a los entornos ATM.

Caso para entornos de cajeros automáticos o ATM

En mi vida profesional como profesional de ciberseguridad he estado involucrado en docenas de proyectos de seguridad y cumplimiento de ATMs. Por lo tanto, todas las ideas especificadas en este y en los próximos artículos del blog se basan únicamente en mis más de 14 años de experiencia en la industria.

En primer lugar, rompamos un mito confirmando que los entornos de cajeros automáticos caen en el ámbito de la validación de cumplimiento PCI DSS, ya que los datos de los titulares de las tarjetas se procesan y se transmiten (y ojalá no se almacenaran) allí. Los aspectos problemáticos son la dispersión geográfica de los cajeros automáticos, la tendencia a utilizar más sistemas operativos obsoletos y los ataques de malware dirigidos.

En cuanto a la dispersión geográfica, hay que prestar especial atención a la seguridad física y a la interacción remota con los cajeros automáticos, incluido el análisis trimestral de vulnerabilidades, por ejemplo. Muchos cajeros automáticos en el mundo siguen funcionando con sistemas operativos más obsoletos , lo que inevitablemente exige la necesidad de aplicar controles de compensación al someterse a la validación de conformidad con el estándar PCI DSS.

Otra área por la que se conocen los entornos de cajeros automáticos son los ataques de malware dirigido. Esto significa que las soluciones que implican listas blancas (o de confianza) de aplicaciones, incluidos los sistemas de prevención/detección de intrusiones (IDS/IPS) basados en host con protección de puertos USB y funcionalidad de cortafuegos personal, pueden hacer frente a estas amenazas mejor que los productos antimalware tradicionales de "lista negra". Una vez más, debido a la dispersión geográfica y a la relativamente baja potencia de procesamiento las soluciones antimalware tradicionales de "lista negra" no son fáciles de mantener dada la necesidad de actualizaciones y escaneos regulares (por no mencionar la creciente base de datos de firmas de malware) para garantizar el cumplimiento de PCI DSS.

En cierto modo, las soluciones de listas blancas o de confianza de aplicaciones, si se implementan correctamente, podrían considerarse como un control compensatorio frente al uso de sistemas operativos obsoletos y de la falta de soluciones antimalware tradicionales de "lista negra". Sin embargo, cualquier control de compensación siempre debe ser revisado y acordado con su Asesor de Seguridad Calificado (QSA).

En enero de 2013, el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (Payment Card Industry Security Standards Council, PCI SSC) emitió unas directrices de seguridad para cajeros automáticos (ATM Security Guidelines), que fueron un buen intento de cubrir los aspectos específicos de la industria, ya que PCI DSS era demasiado universal. Es importante señalar, y se destaca en el propio documento del PCI SSC, que las directrices no están destinadas a cubrir la protección del dinero en efectivo almacenado en los cajeros automáticos (un área tan interesante, si no más, que los datos del titular de la tarjeta para un atacante).

Recuerde, PCI DSS sólo se preocupa por la seguridad de los datos del titular de la tarjeta, y esto hace que el documento anterior sea bastante especializado en la visión holística de la seguridad de los cajeros automáticos. Si desea garantizar la seguridad de los cajeros automáticos no sólo a la luz del cumplimiento de PCI DSS, debe consultar las mejores prácticas de ATMIA (ATM Industry Association), disponibles sólo para los miembros de ATMIA, o puede ponerse en contacto con nosotros para que le asesoremos sobre la profundidad o el alcance de esta área.

Para garantizar la protección de los datos de los titulares de tarjetas, póngase en contacto con nuestros expertos en seguridad cibernética. El camino de cumplimiento de PCI puede parecer abrumador, pero estamos más que listos para guiarlo a través de este camino, garantizando que no se le escape nada.

Contáctenos

Irmantas Brazaitis

Written by Irmantas Brazaitis

PCI QSA and Information Security professional with more than 14 years of experience within the payment card industry. I’ve been involved in dozens of ATM compliance and security projects having worked for global payment service providers alongside the Fraud team, engaged in end-to-end fraud prevention process (from monitoring of suspicious transactions to seizure of criminals).

Certified as Qualified Security Assessor (QSA) by PCI Security Standards Council.