CISM – CISS - LA7799 – GIAC PCI – ISS-CA
Visa, MasterCard, American Express, y otras asociaciones de tarjetas han definido un conjunto de obligaciones en relación con la seguridad de la información y que deben cumplir los comercios que operan por Internet, las entidades financieras y las empresas que gestionan medios de pagos. Las medidas de seguridad, que deben auditarse, deben satisfacer ciertas exigencias siempre que se almacenen, se procesen o se trasmitan datos de titulares de tarjetas.
Una falla de seguridad, clave en el robo de datos
La mayor ciberestafa en la historia del sector financiero fue detectada en junio 2005, cuando las grandes marcas internacionales, Visa y Mastercard avisaron de que el sistema informático de la plataforma Card System, había dejado expuestos los datos de 40 millones de tarjetas.
CardSystem una red intermediaria en el proceso de pagos con tarjeta de crédito sufrió la intervención de un intruso, o más posiblemente una organización delictiva, que planto un programa (o script) que habría de extraer buena parte de la información que circula por las arterias de CardSystem, esto se reduce siempre a lo mismo: una vulnerabilidad, un punto débil en el software que sostiene la red permitiendo el robo de información.
Con el fin de concentrar los esfuerzos para minimizar el riesgo de fraudes con tarjetas de pago, los grandes operadores mundiales se han asociado en la organización denominada “Payment Card Industry Security Standards Council”. La organización fue creada para coordinar y administrar acciones relativas a la seguridad de la información relacionada a tarjetas de pago y sus titulares en cada uno de los eslabones de la cadena.
¿Quiénes tienen que someterse a esta norma de seguridad?
Esta norma incluye a todos los comercios y proveedores de servicios de tercera persona que almacenen, procesen o transmiten datos del titular de tarjeta. Dentro del criterio de validación de cumplimiento se debe segmentarse considerando el riesgo que representan las diferentes entidades afiliadas.
Inicialmente, los miembros deberán utilizar el siguiente criterio para crear dos grupos:
Alto Riesgo: Comercios con la capacidad de almacenar información sensitiva (contenido de la banda magnética, CVV2, etc.). Estos comercios normalmente cuentan con algún tipo de aplicativo o software en el punto de venta.
Bajo Riesgo: Comercios sin capacidad de almacenar información sensitiva. Estos comercios normalmente cuentan con un punto de venta (POS) independiente.
El grupo de “Alto Riesgo” posteriormente deberá dividirse de la siguiente manera:
Nivel 1: Principales comercios que concentran el 80% del volumen de transacciones del grupo de alto riesgo.
Nivel 2: Comercios con el 20% restante de volumen de transacciones del grupo de alto riesgo.
El resultado será una segmentación de 3 niveles que permitirá utilizar diferentes esquemas de validación como se muestra en la siguiente tabla:
En el caso de un proveedor de servicio puede ser cualquier organización que almacena, procesa o transmite información normalmente en nombre de un grupo de entidades.
Estos incluyen:
* Procesadores
* Proveedores de servicios de pago por Internet (IPSPs)
* Proveedores de servicios de Internet (ISPs)
* Cualquier otra entidad que realiza algún tipo de servicio a un adquirente que requiere manipulación de información de transacciones
La tabla 2 muestra los requerimientos de validación para los proveedores de servicios:
Aspectos de evaluación de la Norma de Seguridad de Datos
La industria de pagos electrónicos con tarjetas exige el control de las seis categorías de seguridad principal, separada en 12 requerimientos básicos abarcando todas las áreas involucradas en la seguridad del procesamiento de transacciones con tarjetas de pago.
Téngase presente que estas categorías de seguridad de datos de la industria de tarjetas de pago se aplican a todos los miembros, comercios y proveedores de servicio que almacenan, procesan o transmiten datos de los tarjeta habientes. Además, estos requisitos de seguridad se aplican a todos los componentes de sistemas que se definen como cualquier red, componente, servidor o aplicación incluido en el ambiente de datos de los tarjetahabientes o conectado al mismo. Los componentes de red incluyen, sin limitación, firewall, switches, enrutadores, puntos de acceso inalámbricos, aparatos y otros dispositivos de seguridad. Los servidores incluyen, sin limitación, los de Web, bases de datos, autenticación, DNS, correo, Proxy y NTP. Las aplicaciones incluyen todas las aplicaciones compradas e individualmente adaptadas, incluyendo aplicaciones internas y externas (Web).
Como poder reducir los requisitos de validación de cumplimiento
Sin importar si es un comerciante pequeño o un proveedor de servicio mayorista IBM Internet Security System ofrece.
Sumario: Independientemente al nivel que aplique para validar el cumplimiento de una organización, es responsable de cada entidad cumplir con las normas de seguridad PCI.
Fuente: www.gbm.net
No hay comentarios:
Publicar un comentario