Si manejas información de tarjetas bancarias, este artículo te interesa
Como ya os adelantamos desde nuestra sección de avisos de seguridad, el próximo uno de febrero será de aplicación y de manera obligatoria el estándar PCI DSS v3.2, por lo que cualquier empresa que procese, almacene o transmita datos relacionados con tarjetas bancarias debe actualizar sus procedimientos para adecuarse a la norma.
El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago “Payment Card Industry Data Security Standard” o PCI DSS es un modelo formado por las principales compañías emisoras de tarjetas de crédito y débito. Su principal objetivo es ayudar a las organizaciones que procesan, almacenan o transmiten datos de este tipo a asegurarlos y minimizar los riesgos por fraude. Esta normativa aplica a las organizaciones que gestionen datos de tarjetas de comerciantes, procesadores, adquirentes, entidades emisoras y proveedores de servicios.
El principal objetivo de este estándar es aumentar la seguridad de cualquier operación o transacción en la que se gestione información relacionada con tarjetas bancarias, y de esta forma, minimizar al máximo posible el riesgo de fraude. Según recogemos en el artículo 2017, el año en que las empresas se concienciaron en ciberseguridad, el PIB generado por el cibercrimen ha pasado del 0.8% al 1% entre los años 2016 y 2017 respectivamente. PCI DSS v3.2 es una medida más con la que hacer frente a este aumento adaptando para ello, la normativa a los nuevos tiempos que corren y por ende aumentar los controles de seguridad en algo tan sensible como son las tarjetas de pago.
Esta nueva versión trae consigo varios cambios que antes eran considerados como “buenas prácticas” pero que a partir del próximo 1 de febrero, serán de obligado cumplimiento. A continuación se describen los principales:
- Redes y sistemas seguros
- La organización debe instalar y mantener un cortafuegos “firewall” para proteger los datos del titular.
- Evitar utilizar claves de acceso por defecto.
- Mantener un registro y supervisión de todos los accesos a los recursos de la red y a los datos del titular.
- Comprobar periódicamente la seguridad de los sistemas.
- Protección de los datos del titular
- Los datos del titular de la tarjeta deben estar protegidos frente a posibles intrusos.
- El envío de cualquier información referente a la tarjeta por una red pública como Internet, debe estar cifrada.
- Software de protección.
- Llevar a cabo todas las acciones necesarias para minimizar el riesgo de infección por malware como tener instalado y actualizado el antivirus o mantener todos los sistemas y herramientas actualizados.
- Medidas de control de acceso.
- Mantener los datos del titular de la tarjeta con el máximo nivel de restricción.
- Implementar medidas de identificación y autenticación a los recursos de la organización.
- Restringir el acceso físico a los datos del titular de la tarjeta.
- Política de seguridad de la información.
- Mantener una política que aborde la seguridad de la información para todo el personal de la organización.
En la documentación proporcionada por el Security Standards Council se describen más en profundidad los cambios que deben implementarse para adecuarse a la nueva normativa.
Hay que considerar que el estándar PCI DSS distingue dos tipos diferentes de datos y el trato que debe realizarse sobre ellos:
- Datos del titular de la tarjeta: este tipo de datos hacen referencia a información personal y bancaria del titular de la tarjeta. Este tipo de información según el estándar está permitido almacenarla aunque siempre implementando medidas de seguridad como el cifrado para salvaguardar su confidencialidad. Dentro de esta información se encuentra:
- Número de cuenta principal.
- Nombre y apellidos del titular de la tarjeta.
- Código de servicio.
- Fecha de vencimiento.
- Datos confidenciales de autenticación: ningún tipo de información que permita autenticarnos con una tarjeta puede ser almacenada, ni aunque se encuentre cifrada. Dentro de esta información se encuentra:
- Contenido completo de la banda magnética o del chip de la tarjeta. Tampoco está permitido almacenar este tipo de información si se encuentra en otro dispositivo como por ejemplo, un Smartphone.
- CVV o CVC. Código compuesto por tres dígitos que suele encontrarse en el reverso de la tarjeta.
- Código PIN utilizado para desbloquear la tarjeta.
Este estándar no incluye ningún tipo de sanción por incumplimiento, aunque las entidades emisoras de las tarjetas y las entidades bancarias sí que podrían aplicarlas. Otro punto a destacar es que en caso de que se produzca una fuga de información los más perjudicados serán el comercio y el banco al que se encuentra vinculada esa tarjeta ya que verá afectada negativamente su reputación. Además, puede que incluso se enfrente a sanciones por incumplimiento de la LOPD como responsable.
Sigue las siguientes recomendaciones para implantar el PCI DSS 3.2:
- Nunca almacenes datos de autenticación de las tarjetas, asegúrate de que esto se cumpla aunque tengas el servicio externalizado.
- En caso de necesitar un TPV externaliza el servicio a una entidad de confianza que cumpla con este estándar.
- Antes de almacenar los datos de las tarjetas bancarias de tus clientes asegúrate de que es estrictamente necesario.
- En caso de almacenar cualquier dato del titular de la tarjeta asegúrate que se haga de forma cifrada y por medio de protocolos considerados robustos.
- Implanta autenticación de doble factor para los accesos de administrador, sobre todo si el acceso es desde el exterior de tus instalaciones.
- Si tienes limitaciones técnicas o administrativas para cumplir algún requisito, justifícalas y considera el uso de mecanismos compensatorios o alternativas que ofrezcan una protección similar.
- Si tienes dudas, consulta con un asesor cualificado sobre el tema o encuentra el que más se adecúe a tus necesidades desde nuestra sección Catálogo de Ciberseguridad.
Dentro de la página web oficial del Security Standards Council, organización que gestiona el estándar PCI DSS, podrás encontrar diferentes recursos que te serán de utilidad, como por ejemplo el glosario de términos, un resumen con los principales cambios de esta nueva versión o la propia normativa entre otros.
Además, como información complementaria disponemos de varios recursos como el Kit de concienciación o una herramienta con la que evaluar los riesgos a los que está expuesta tu organización que ayudarán a proteger tu empresa.