PCI/DSS

En nuestra actualidad las tarjetas como medio de pago se han vuelto muy populares y a su vez fundamentales, es por eso que dos grandes compañías VISA y Mastercard crearon el estándar de protección de datos PCI/DSS con la intensión de minimizar el fraude en sus usos y a su vez apoyar a las organizaciones en la implementación de las buenas practicas de seguridad recogidas en esta norma. 

PCI/DSS es administrado actualmente por la empresa PCI Security Standards Council, que se basa en el mejoramiento de estándares de seguridad a través del desarrollo que ayude a la mejora de la protección de datos. 

Algunas características de este estándar son sus normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS) que se desarrollaron para fomentar y mejorar la seguridad de los datos del titular de la tarjeta y facilitar la adopción de medidas de seguridad uniformes a nivel mundial. Las PCI DSS están diseñadas para proporcionar una referencia de requisitos técnicos y operativos desarrollados para proteger los datos de los titulares de tarjetas. Las PCI DSS se aplican a todas las entidades que participan en el procesamiento de tarjetas de pago, entre las que se incluyen comerciantes, procesadores, adquirientes, entidades emisoras y proveedores de servicios, como también todas las demás entidades que almacenan, procesan o transmiten CHD (datos del titular de la tarjeta) o SAD (datos de autenticación confidenciales).

Las PCI DSS constituyen un conjunto mínimo de requisitos para proteger los datos de titulares de tarjetas y se pueden mejorar por medio de controles y prácticas adicionales a fin de mitigar otros riesgos y de leyes y regulaciones locales, regionales y sectoriales. Además, la legislación o las regulaciones pueden requerir la protección específica de la información de identificación personal u otros elementos de datos (por ejemplo, el nombre del titular de la tarjeta). Las PCI DSS no sustituyen las leyes locales ni regionales, las regulaciones gubernamentales ni otros requisitos legales.

Los requisitos de las PCI DSS se aplican a las organizaciones y entornos en los que se almacenan, procesan o transmiten datos de cuenta (datos del titular de la tarjeta y datos de autenticación confidenciales). Algunos requisitos de las PCI DSS también se aplican a organizaciones que han tercerizado las operaciones de pago o la gestión del CDE (entorno de los datos del titular de la tarjeta) . Además, las organizaciones que tercerizan el CDE (entorno de los datos del titular de la tarjeta) o las operaciones de pagos a terceros deben asegurarse de que estos protejan los datos de cuenta de acuerdo con todos los requisitos correspondientes de las PCI DSS.

Alcance de los requisitos de las PCI DSS. . .

Los requisitos de seguridad de las PCI DSS se aplican a todos los componentes del sistema incluidos en el entorno de datos del titular de la tarjeta o conectados a este. El CDE (entorno de datos del titular de la tarjeta) consta de personas, procesos y tecnologías que almacenan, procesan o transmiten datos de titulares de tarjetas o datos confidenciales de autenticación. El término “componentes del sistema” incluye dispositivos de red, servidores, dispositivos informáticos y aplicaciones. Los componentes del sistema incluyen, a modo de ejemplo:

• Sistemas que ofrecen servicios de seguridad (por ejemplo, servidores de autenticación), que facilitan la segmentación (por ejemplo, firewalls internos) o que pueden afectar la seguridad del CDE (por ejemplo, servidores de resolución de nombres o de redireccionamiento web).
• Componentes de virtualización, como máquinas virtuales, interruptores/routers virtuales, dispositivos virtuales, aplicaciones/escritorios virtuales e hipervisores. 
• Los componentes de red incluyen, a modo de ejemplo, firewalls, interruptores, routers, puntos de acceso inalámbricos, aplicaciones de red y otras aplicaciones de seguridad. 
• Los tipos de servidores incluyen, a modo de ejemplo: web, aplicación, bases de datos, autenticación, correo electrónico, proxy, NTP (protocolo de tiempo de red) y DNS (servidor de nombre de dominio). 
• Aplicaciones, que abarcan todas las aplicaciones compradas y personalizadas, incluso las aplicaciones internas y externas (por ejemplo, Internet). 
• Cualquier otro componente o dispositivo ubicado en el CDE o conectado a este. 

El primer paso de una evaluación de las PCI DSS es determinar con exactitud el alcance de la revisión. Por lo menos una vez al año y antes de la evaluación anual, la entidad evaluada debería confirmar la exactitud del alcance de las PCI DSS al identificar todas las ubicaciones y los flujos de datos de titulares de tarjetas y al asegurar que se incluyan en el alcance de las PCI DSS. Para confirmar la exactitud e idoneidad del alcance de las PCI DSS, realice lo siguiente: 

• La entidad evaluada identifica y documenta la existencia de todos los datos del titular de la tarjeta en su entorno, con la finalidad de verificar que no haya datos del titular de la tarjeta fuera del CDE actualmente definido.
• Una vez que se hayan identificado y documentado todas las ubicaciones de los datos de los titulares de tarjetas, la entidad utiliza los resultados para verificar que el alcance de las PCI DSS sea apropiado (por ejemplo, los resultados pueden ser un diagrama o un inventario de ubicaciones de datos de titulares de tarjetas).
• La entidad considera que todos los datos del titular de la tarjeta encontrados están dentro del alcance de la evaluación de las PCI DSS y forman parte del CDE. Si la entidad identifica los datos que no están actualmente en el CDE, se deberán eliminar de manera segura, migrar al CDE actualmente definido o al CDE redefinido para incluir estos datos. 
• La entidad retiene la documentación que muestra cómo se determinó el alcance de las PCI DSS. La documentación se conserva para la revisión por parte de los asesores o como referencia durante la siguiente actividad anual de confirmación del alcance de las PCI DSS.

Mejores prácticas para implementar las PCI DSS en los procesos habituales. . .

A fin de garantizar que los controles de seguridad se sigan implementando correctamente, las PCI DSS deberán implementarse en las actividades BAU (habituales) como parte de la estrategia general de seguridad. Esto permite que la entidad supervise constantemente la eficacia de los controles de seguridad y que mantenga el cumplimiento de las PCI DSS en el entorno entre las evaluaciones de las PCI DSS. Ejemplos de cómo incorporar las PCI DSS en las actividades BAU:

1. Monitorear los controles de seguridad, tales como firewalls, IDS/IPS (sistemas de intrusión-detección o de intrusión-prevención), FIM (monitorización de la integridad de archivos), antivirus, controles de acceso, etc., para asegurarse de que funcionan correctamente y según lo previsto
2. Garantizar la detección de todas las fallas en los controles de seguridad y solucionarlas oportunamente. Los procesos para responder en caso de fallas en el control de seguridad son los siguientes:
   - Restaurar el control de seguridad.
   - Identificar la causa de la falla.
   - Identificar y abordar cualquier problema de seguridad que surja durante la falla del control de seguridad.
   - Implementar la mitigación (como procesos o controles técnicos) para evitar que la causa reaparezca.
   - Reanudar la monitorización del control de seguridad, quizás con una monitorización mejorada durante un tiempo a fin de verificar que el control funcione correctamente.
3. Revisar los cambios implementados en el entorno (por ejemplo, incorporación de nuevos sistemas, cambios en las configuraciones del sistema o la red) antes de finalizar el cambio y realizar las siguientes actividades:
   - Determinar el posible impacto en el alcance de las PCI DSS (por ejemplo, una nueva regla para los firewalls que permita la conectividad entre un sistema del CDE y otro sistema puede incorporar sistemas o redes adicionales al alcance de las PCI DSS).
   - Identificar los requisitos de las PCI DSS correspondientes a los sistemas y las redes afectados por los cambios (por ejemplo, si un nuevo sistema está dentro del alcance de las PCI DSS, se deberá configurar de acuerdo con las normas de configuración de sistemas, entre otros, FIM (monitorización de la integridad de archivos), AV (antivirus), parches, registros de auditorías, etc., y se deberá incorporar al programa trimestral de análisis de vulnerabilidades).
   - Actualizar el alcance de las PCI DSS e implementar los controles de seguridad, según sea necesario.
4. Si se implementan cambios en la estructura organizativa (por ejemplo, la adquisición o fusión de una empresa), se debe realizar una revisión formal del impacto en el alcance y en los requisitos de las PCI DSS.
5. Se deben realizar revisiones y comunicados periódicos para confirmar que los requisitos de las PCI DSS se siguen implementando y que el personal cumple con los procesos de seguridad. Estas revisiones periódicas deben abarcar todas las instalaciones y ubicaciones, en las que se incluyen tiendas minoristas, centros de datos, etc., e incluir la revisión de los componentes del sistema (o muestras de los componentes del sistema) a fin de verificar que siguen implementados los requisitos de las PCI DSS, por ejemplo, normas de configuración implementadas, parches y AV (antivirus) actualizados, registros de auditorías revisados y así sucesivamente. La entidad debe determinar la frecuencia de las revisiones periódicas en función del tamaño y de la complejidad del entorno. Estas revisiones también se pueden usar para verificar que se mantiene la evidencia correspondiente, por ejemplo, registros de auditorías, informes de análisis de vulnerabilidades, revisiones de firewall, etc., para ayudar a la entidad a prepararse para la siguiente evaluación sobre cumplimiento.
6. Revisar las tecnologías de hardware y software, al menos, una vez al año para confirmar que el proveedor las sigue admitiendo y que pueden satisfacer los requisitos de seguridad de la entidad, incluso las PCI DSS. Si se detecta que el proveedor ya no puede admitir las tecnologías o que no pueden satisfacer las necesidades de seguridad de la entidad, la entidad debe preparar un plan de recuperación que incluya el reemplazo de la tecnología si fuera necesario. 

Además de las prácticas anteriores, las organizaciones también deben considerar la opción de separar las tareas de las funciones de seguridad de modo que las funciones de seguridad y auditorías sean independientes de las funciones operativas. En entornos en los que una persona desempeña varias funciones (por ejemplo, operaciones de administración y seguridad), las tareas se deben asignar de manera tal que ninguna persona tenga control completo de un proceso sin un punto de verificación independiente. Por ejemplo, las tareas de configuración y de aprobación de cambios se pueden asignar a dos personas distintas.

¿Qué es el GDPR?

Tras cuatro años de debate, la Unión Europea aprobó el Reglamento General de Protección de Datos (General Data Protection Regulation GDPR) en Abril de 2016. El GDPR está ya en vigor si bien no será de aplicación hasta el 25 de Mayo de 2018, fecha en la que se espera su pleno cumplimiento por parte de las empresas. El GDPR está diseñado para otorgar mayor control a las personas sobre sus datos personales y establecer unas reglas comunes en toda Europa de protección de los mismos. Las empresas fuera de la UE estarán sujetas a estas normativa cuando lleven a cabo actividades de tratamiento de datos personales de individuos que residan en la UE en relación con la oferta de bienes o servicios a los mismos o con el control de su comportamiento (en la medida en que este tenga lugar en la UE).

Se obliga a los clientes a ser responsables de garantizar el cumplimiento de las leyes y normativas aplicables, incluyendo el Reglamento General de Protección de Datos de la Unión Europea. Lo clientes son los únicos responsables de obtener asesoramiento legal competentemente a fin de identificar e interpretar cualquier ley normativa que pudiera afectar a su negocio, así como cualquier medida que deberían tomar para cumplir con dichas leyes y normativas.

Se producirá un incremento sustancial de las sanciones para aquellas organizaciones que no cumplan con este nuevo reglamento. Dichas sanciones pueden alcanzar los diez millones de euros, o un dos por ciento de la facturación global anual del ejercito financiero, en caso de infracciones en materia de, entre otros aspectos, medidas técnicas y organizativas para la protección de datos, mantenimiento de registros, notificación de violaciones de seguridad de los datos personales y obligaciones de evaluación de impacto relativa a la protección de los mismos.

Estas sanciones podrían duplicarse a veinte millones de euros o un cuatro por ciento de la facturación por infracciones relacionadas con la licitud del tratamiento, la falta del adecuado consentimiento, los derechos de los interesados y la transferencia de datos personales a un tercer país (fuera de la UE).

Las empresas deberán "implementar las medidas organizativas técnicas adecuadas teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento de datos personales, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas". Las garantías de la protección de datos deben integrarse en los productos y servicios desde las primeras etapas del desarrollo.

Dichas medidas, pueden incluir, entre otras:

• Seudonimización y cifrado de datos personales
• Capacidad de garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia de los sistemas de forma continua
• Capacidad de restaurar la disponibilidad y el acceso a los datos de forma puntual tras un incidente técnico o físico
• Introducción de un proceso para realizar pruebas y evaluar la efectividad de estos sistemas periódicamente  

El 26 de Enero de 2017, la Agencia Española de Protección de Datos publico la "Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento", que incluye una lista de verificación  que pretende ayudar a las organizaciones y usuarios a llevar a cabo una valoración de su situación frente a las principales obligaciones del GDPR. Desde mi punto de vista recomiendo leer esta guía para estar al tanto de como funciona esta ley, y ojala se pudiera implementar en otros países.