El PCI-DSS (Payment Card Industry Data Securiry Standard) ha existido durante más de una década, pero eso no significa que no haya muchos mitos sobre el cumplimiento de la seguridad de los datos que aún rondan en torno a la información de seguridad.
Algunos de los mitos más generalizados involucran a las empresas que piensan que no necesitan cumplir, que el cumplimiento es demasiado difícil, que no es continuo y que el cumplimiento garantiza automáticamente la seguridad de sus datos.
Uno de los mitos más universales sobre las PCI DSS es que muchos comerciantes creen que son demasiado pequeños o que procesan muy pocas transacciones para preocuparse de ser compatibles con PCI. Sin embargo, cada empresa es responsable del cumplimiento de la seguridad de información si procesa, almacena o transmite datos del titular de la tarjeta. También se requiere el cumplimiento de PCI aunque haya una sola transacción de tarjeta al año e incluso si las empresas utilizan procesadores de terceros.
Hay cuatro niveles de cumplimiento de PCI en los que los comerciantes pueden ser clasificados. Estos son:
Muchas empresas, especialmente las que no tienen recursos para lograr el cumplimiento por sí mismas, pueden optar por externalizar las medidas de cumplimiento a otra empresa. Aunque esta es una solución viable, no transfiere toda la responsabilidad del cumplimiento al proveedor externo.
En última instancia cada empresa es responsable de garantizar su propio cumplimiento, por lo que aún debe implementar medidas para abordar la seguridad cuando reciba datos de tarjetas de crédito y del titular de la tarjeta, y para evitar una violación de datos durante el procesamiento de la tarjeta, como cuando emite un reembolso o contracargo.
Cuando observamos los 12 requisitos de PCI por primera vez, puede parecer abrumador, especialmente si aún no has tomado medidas para cumplir con los requisitos, y no cuentas con el respaldo de un departamento de seguridad o la ayuda de IT para ayudarte con la asistencia técnica. Sin embargo, el cumplimiento no tiene que ser demasiado complicado, y el mejor enfoque es verlo como una mejor práctica para la seguridad que toda empresa debería ofrecer a sus clientes.
Incluso si no dispones de multitud de recursos, el cumplimiento es alcanzable y hay muchos productos, servicios y herramientas que pueden ayudar. Requiere un inversión económica, pero los beneficios del cumplimiento superan con creces las multas, los honorarios, la pérdida de confianza y otras consecuencias de un incumplimiento.
Aunque el cumplimiento de PCI no es demasiado difícil, no es una situación de una sola vez. Requiere medidas de seguridad continuas, evaluaciones de riesgos y actualizaciones, ya que regularmente se publican nuevas versiones de PCI y cada vez que esto ocurre debemos revisar nuestra estrategia actual para cumplir con los nuevos requisitos.
Un buen planteamiento sería revisar a fondo los 12 requisitos y diseñar una estrategia integral para abordarlos todos, ya que no hay un solo producto o herramienta que cumpla con los 12 requisitos.
El cumplimiento de PCI no se puede pasar al departamento de IT con la esperanza de que lo traten, porque la responsabilidad es de toda la empresa.
La IT puede ayudar a implementar los requisitos técnicos, sin embargo las políticas deben implementarse para exigir evaluaciones e informes regulares, y estas políticas también deben centrarse en la capacitación de los empleados con respecto a las prácticas seguras al manejar los datos de los titulares de tarjetas.
El PCI incluye una serie de mejores prácticas de la industria para proteger los datos, pero el cumplimiento no garantiza que los datos estén completamente seguros. Por un lado, los hackers siempre están desarrollando nuevas estrategias para romper incluso las redes más seguras, razón por la cual los estándares PCI y su cumplimiento con ellos siempre evolucionan. Para mantener tus datos seguros, es importante que siempre esté evaluando sus esfuerzos, buscando vulnerabilidades y tomando medidas para solucionar los problemas.
El cumplimiento con PCI es importante para proteger los datos del titular de la tarjeta contra ataques e infracciones, pero para cumplir, es importante comprender completamente los requisitos de la norma. Un aspecto crucial de esto es conocer los mitos más comunes con respecto a la PCI, ya que pueden desviarse en sus mejores esfuerzos para lograr y mantener el cumplimiento.
Fuente: https://www.cimcor.com
En el umbral de una nueva era, la intersección entre la inteligencia artificial (IA) y…
El Directorio Activo (AD) de Microsoft es una de las implementaciones de servicios de directorio…
Las tecnologías cuánticas, una de las fronteras más emocionantes de la ciencia y la ingeniería…
¿Te has encontrado alguna vez con un correo electrónico, un mensaje de texto o una…
Hoy vamos a desglosar con profundidad un tema crítico: "Los peligros de las redes sociales…
En el ciberespacio, una guerra digital se libra entre delincuentes cibernéticos y defensores de la…
