14 mejores prácticas para tu negocio


Concepto de seguridad de cumplimiento de PCI.
Imagen: ArtemisDiana/Adobe Stock

He trabajado en la industria de pagos como administrador de sistemas durante más de 15 años y pasé gran parte de mi carrera trabajando con el cumplimiento de la industria de tarjetas de pago, que se refiere a los requisitos de seguridad que involucran a las empresas que manejan datos de tarjetas de crédito.

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (TechRepublic)

El cumplimiento de PCI es un campo muy complejo con pautas bajo las cuales las organizaciones de esta industria deben cumplir para poder manejar el procesamiento de pagos.

¿Qué es el cumplimiento de PCI?

El cumplimiento de PCI es una estructura basada en los requisitos exigidos por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago para garantizar que todas las empresas que procesan, almacenan o transmiten información de tarjetas de crédito mantienen un entorno operativo seguro para proteger sus negocios, clientes y datos confidenciales.

Las pautas, conocidas como el Estándar de seguridad de datos de la industria de tarjetas de pago, surgieron el 7 de septiembre de 2006 e involucran directamente a todas las principales compañías de tarjetas de crédito.

El PCI SSC fue creado por Visa, MasterCard, American Categorical, Find y Japan Credit Bureau para administrar y gestionar el PCI DSS. Las empresas que se adhieren a PCI DSS cumplen con PCI y, por lo tanto, son confiables para realizar negocios.

Todos los comerciantes que procesan más de 1 millón o 6 millones de transacciones con tarjeta de pago cada año, y los proveedores de servicios que retienen, transmiten o procesan más de 300 000 transacciones con tarjeta cada año, deben ser auditados para el cumplimiento de PCI DSS. El alcance de este artículo está destinado a las empresas sujetas a esta auditoría anual.

Vale la pena señalar que el cumplimiento de PCI no garantiza contra violaciones de datos más de lo que un hogar que cumple con las normas contra incendios es completamente seguro contra un incendio. Simplemente significa que las operaciones de la empresa están certificadas en cumplimiento de estrictos estándares de seguridad, lo que brinda a estas organizaciones la mejor protección posible contra amenazas para producir el más alto nivel de confianza entre su foundation de clientes, así como los requisitos reglamentarios.

El incumplimiento de los requisitos de PCI puede resultar en fuertes sanciones financieras de $ 5K a $ 100K por mes. Las empresas que cumplen y enfrentan filtraciones de datos pueden enfrentar multas significativamente reducidas después.

14 mejores prácticas de PCI para su negocio

1. Conozca su entorno de datos del titular de la tarjeta y documente todo lo que pueda

No puede haber sorpresas cuando se trata de promulgar el cumplimiento de PCI todos los sistemas, redes y recursos deben analizarse y documentarse minuciosamente. Lo último que desea es un servidor desconocido que opera en algún lugar o una serie de cuentas misteriosas.

2. Sea proactivo en su enfoque e implemente políticas de seguridad en todos los ámbitos

Es un gran error abordar la seguridad de cumplimiento de PCI como algo que se debe «agregar» o aplicar según sea necesario cuando se solicite. Los conceptos deben integrarse en todo el entorno de forma predeterminada. Elementos como requerir autenticación multifactor para entornos de producción, utilizar https en lugar de http y ssh en lugar de telnet, y exigir cambios periódicos de contraseña deben aplicarse con anticipación. Cuanto más preocupada esté su organización por la seguridad, menos trabajo tendrá que hacer después de que se haya completado el tiempo de auditoría.

3. Realizar verificaciones de antecedentes de los empleados que manejan datos de titulares de tarjetas

Todos los empleados potenciales deben ser examinados minuciosamente, incluidas las verificaciones de antecedentes de aquellos que trabajarán con datos de titulares de tarjetas, ya sea directamente o en un puesto administrativo o de apoyo. Cualquier solicitante con un cargo grave en su registro debe ser rechazado para el empleo, especialmente si se trata de delitos financieros o robo de identidad.

4. Implementar una autoridad de ciberseguridad centralizada

Para lograr el mejor cumplimiento de PCI, necesita un organismo centralizado que actúe como la autoridad de toma de decisiones para todos los esfuerzos de implementación, administración y remediación. Por lo basic, se trata de los departamentos de TI y/o ciberseguridad, que deben contar con empleados capacitados en este campo y conocedores de los requisitos de PCI.

5. Implementar fuertes controles ambientales de seguridad

En basic, debe usar fuertes controles de seguridad en todos los elementos posibles que manejen los sistemas de datos del titular de la tarjeta. Use firewalls, NAT, subredes segmentadas, program antimalware, contraseñas complejas (no use contraseñas predeterminadas del sistema), encriptación y tokenización para proteger los datos del titular de la tarjeta.

Como consejo adicional, use un alcance lo más limitado posible para los sistemas de datos de titulares de tarjetas, redes dedicadas y recursos para minimizar la cantidad de esfuerzo involucrado en asegurar el mínimo conjunto de recursos posible.

Por ejemplo, no permita que las cuentas de desarrollo tengan acceso a la producción (o viceversa), ya que ahora el entorno de desarrollo se considera dentro del alcance y está sujeto a mayor seguridad.

6. Implemente el acceso con los privilegios mínimos necesarios

Utilice cuentas de usuario dedicadas cuando realice trabajo administrativo en sistemas de titulares de tarjetas, no cuentas de administrador de dominio o raíz. Asegúrese de que solo se conceda el mínimo de acceso a los usuarios, incluso a aquellos con funciones de administrador. Siempre que sea posible, haga que confíen en «cuentas de nivel de usuario» y «cuentas privilegiadas» separadas que solo se utilizan para realizar tareas de nivel de privilegio elevado.

7. Implementar registros, monitoreo y alertas

Todos los sistemas deben basarse en el registro de datos operativos y de acceso a una ubicación centralizada. Este registro debe ser completo pero no abrumador, y se debe implementar un proceso de monitoreo y alerta para notificar al individual apropiado sobre actividades verificadas o potencialmente sospechosas.

Los ejemplos de alerta incluyen demasiados inicios de sesión fallidos, cuentas bloqueadas, una persona que inicia sesión en un host directamente como root o administrador, cambios de contraseña de root o administrador, cantidades inusualmente altas de tráfico de pink y cualquier otra cosa que pueda constituir una violación de datos potencial o incipiente.

8. Implementar mecanismos de parcheo y actualización de software package

Gracias al Paso 1, sabe qué sistemas operativos, aplicaciones y herramientas se están ejecutando en los datos de su tarjetahabiente. Asegúrese de que se actualicen periódicamente, especialmente cuando aparezcan vulnerabilidades críticas. La TI y la ciberseguridad deben suscribirse a las alertas de los proveedores para recibir notificaciones de estas vulnerabilidades y obtener detalles sobre las aplicaciones de parches.

9. Implementar configuraciones estándar de sistemas y aplicaciones

Cada sistema creado en un entorno de tarjetahabiente, así como las aplicaciones que se ejecutan en él, deben ser parte de una construcción estándar, como una plantilla en vivo. Debe haber la menor cantidad posible de disparidades y discrepancias entre los sistemas, especialmente los sistemas redundantes o agrupados. Esa plantilla en vivo debe ser parcheada y mantenida de manera rutinaria para garantizar que los nuevos sistemas producidos a partir de ella estén completamente seguros y listos para su implementación.

10. Implemente una lista de verificación de empleados privilegiados despedidos

Demasiadas organizaciones no realizan un seguimiento adecuado de las salidas de los empleados, especialmente cuando hay departamentos y entornos dispares. El departamento de recursos humanos debe tener la tarea de notificar a todos los propietarios de aplicaciones y entornos sobre las salidas de los empleados para que su acceso pueda eliminarse por completo.

Los departamentos de TI y/o seguridad cibernética deben compilar y mantener una lista de verificación typical de todos los sistemas y entornos que los empleados manejan datos de tarjetas de crédito, y se deben seguir todos los pasos para garantizar la eliminación del acceso al 100 %.

No elimine cuentas deshabilítelos en su lugar, ya que los auditores de PCI a menudo requieren pruebas de cuentas deshabilitadas.

Para obtener más orientación sobre cómo incorporar o desvincular empleados, los expertos de TechRepublic Premium han elaborado una práctica lista de verificación para que pueda comenzar.

11. Implementar metodologías seguras de destrucción de datos

Cuando se eliminan los datos del titular de la tarjeta, según los requisitos, debe haber un método seguro de destrucción de datos involucrado. Puede implicar procesos basados ​​en program o components, como la eliminación de archivos o la destrucción de discos/cintas. A menudo, la destrucción de medios físicos requerirá evidencia para confirmar que esto se ha hecho correctamente y ha sido presenciado.

12. Realizar pruebas de penetración

Organice pruebas de penetración internas o externas para verificar su entorno y confirmar que todo sea lo suficientemente seguro. Preferiría encontrar cualquier problema que pueda corregir de forma independiente antes de que lo haga un auditor de PCI.

13. Educa a tu foundation de usuarios

La formación integral de los usuarios es esencial para mantener operaciones seguras. Capacite a los usuarios sobre cómo acceder y/o manejar de manera segura los datos del titular de la tarjeta, cómo reconocer amenazas de seguridad como estafas de phishing o ingeniería social, cómo proteger sus estaciones de trabajo y dispositivos móviles, cómo usar la autenticación de múltiples factores, cómo detectar anomalías y sobre todo, a quién contactar para informar cualquier violación de seguridad sospechada o confirmada.

14. Esté preparado para trabajar con auditores

Ahora llegamos al momento de la auditoría, donde se reunirá con una persona o equipo cuyo objetivo es analizar el cumplimiento de PCI de su organización. No se ponga nervioso o aprensivo estas personas están aquí para ayudar, no para espiarte. Dales todo lo que piden y solo lo que piden: sé honesto pero mínimo. No estás ocultando nada solo está entregando la información y las respuestas que satisfacen suficientemente sus necesidades.

Además, guarde evidencia como capturas de pantalla de configuraciones, informes de vulnerabilidad del sistema y listas de usuarios, ya que pueden ser útiles para enviar en futuros esfuerzos de auditoría. Aborde todas sus recomendaciones de remediación y cambios lo más rápido posible, y prepárese para presentar evidencia de que este trabajo se ha completado.

Look at minuciosamente cualquier cambio propuesto para asegurarse de que no afecte negativamente a su entorno operativo. Por ejemplo, he visto escenarios en los que se solicitó la eliminación de TLS 1. a favor de versiones más nuevas de TLS, pero la aplicación de esta recomendación habría interrumpido la conectividad de los sistemas heredados y provocado una interrupción. Esos sistemas tenían que ser actualizados primero para cumplir con los requisitos.



Enlace a la noticia unique