Los minoristas y las tiendas en línea son un objetivo favorito para los hackers. Y por una buena razón. Porque una violación exitosa de un sistema de tarjetas de pago puede traerles enormes ganancias financieras. Sin embargo, a pesar de los riesgos, los comerciantes todavía luchan por cumplir con las demandas de seguridad de las tarjetas de pago, donde, según el Informe de seguridad de pagos de Verizon de 2020, actualmente solo el 27,9% de las organizaciones pueden mantener el pleno cumplimiento de los datos de la industria de tarjetas de pago. Estándar de seguridad (PCI DSS). Al mismo tiempo, el número de pagos con tarjeta y sin contacto continúa aumentando, a medida que las preferencias de los consumidores cambian constantemente a favor del plástico, las billeteras móviles y las compras en línea.
No solo eso, sino que el sector minorista también está inmerso en una revolución digital, a medida que migran sus aplicaciones desde hardware estático local a una infraestructura compleja, escalable y elástica basada en la nube. Estos nuevos entornos informáticos dinámicos exigen un cambio de enfoque de los métodos convencionales de ciberseguridad hacia la protección de cargas de trabajo individuales, seguridad API y gestión de configuración.
Esta publicación analiza los requisitos de cumplimiento de PCI-DSS y las implicaciones que tienen para los sistemas de tarjetas de pago alojados en entornos modernos de nubes híbridas y de múltiples nubes. Así que comencemos.
El PCI-DSS es un estándar de procesamiento de información que proporciona un marco para proteger las transacciones de tarjetas de pago y los detalles del titular de la tarjeta de los estafadores.
Especifica un conjunto de medidas de referencia que debe establecer para ayudar a minimizar el riesgo de comprometer los datos del titular de la tarjeta.
La norma se aplica a cualquier empresa u organización que acepte o procese pagos con tarjeta. Por lo tanto, afecta predominantemente a las empresas minoristas y a cualquier compañía que proporcione software o hardware utilizado para procesar transacciones.
Difiere significativamente de las leyes de privacidad de datos, como el Reglamento General de Protección de Datos (GDPR), que también afecta a la industria minorista y del comercio electrónico.
Por ejemplo, el PCI-DSS es un estándar orientado a la seguridad. Por el contrario, la seguridad forma solo una parte de las regulaciones de protección de datos, que también cubren aspectos de privacidad como avisos de privacidad en sitios web, consentimiento para agregar detalles de clientes a listas de correo y solicitudes de derecho de acceso de los consumidores.
El PCI-DSS también fue desarrollado por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC), una organización administrativa formada por procesadores de pagos comerciales . Sin embargo, las leyes de privacidad de datos son administradas por organismos gubernamentales, a nivel estatal, nacional o internacional.
El PCI-DSS establece diferentes vías de cumplimiento, cada una de las cuales se corresponde con uno de cuatro niveles de cumplimiento diferentes. La cantidad de transacciones que procesa al año determina su nivel de cumplimiento particular.
Las empresas de tarjetas de pago podrán, a su discreción, imponer multas por incumplimiento de la PCI-DSS. Además, una violación del PCI-DSS también es probable que constituya una violación de la legislación de privacidad aplicable, como el GDPR o la Ley de Privacidad del Consumidor de California (CCPA). Y también leyes potencialmente estatales, como la Ley de Seguridad de Tarjetas Plásticas de Minnesota.
Entonces, en caso de una violación, puede estar sujeto a una multitud de sanciones y sanciones financieras diferentes.
El cumplimiento de PCI-DSS especifica doce requisitos técnicos y operativos de la siguiente manera.
Un firewall es su primera línea de defensa, ya que evita que tráfico potencialmente malicioso ingrese a su red según un conjunto de reglas preconfiguradas.
Sin embargo, el firewall tradicional basado en perímetro ya no es suficiente para proteger sus activos en la nube, ya que no existe un límite claro entre sus usuarios y la red interna.
Para superar este problema, necesitará un firewall en la nube. Funciona de manera muy similar a un firewall convencional, pero se ha adaptado específicamente a la naturaleza distribuida de la nube, donde las aplicaciones se dividen en componentes discretos dispersos por el entorno de red.
Los proveedores de enrutadores, sistemas POS y componentes relacionados suministran a sus equipos nombres de usuario, contraseñas y configuraciones predeterminados para que la instalación y configuración sean lo más rápidas y fáciles posible.
Esto lo convierte en un blanco fácil para los ciberdelincuentes.
Estas configuraciones de fábrica están fácilmente disponibles para los estafadores, que las explotan para obtener acceso al rojo interno y robar datos de los titulares de tarjetas. Así que solo use sus propias credenciales y configuraciones de inicio de sesión únicas para ayudar a mantener a los hackers fuera.
También tenga cuidado con el uso de otras configuraciones predeterminadas, como permisos de acceso. Los equipos de CloudSecOps deben asegurarse de que sus aplicaciones y cargas de trabajo en la nube no sean demasiado permisivas y solo brinden el nivel necesario de acceso a recursos confidenciales para reducir la superficie de ataque.
La mejor manera de proteger la información del titular de la tarjeta es simplemente evitar almacenarla por completo. Sin embargo, si lo necesita para fines comerciales o legales, debe tomar medidas para que sea ilegible.
El método más común y práctico para lograr esto es encriptar sus datos. Para cumplir con PCI-DSS, dicho cifrado debe utilizar el algoritmo AES-256 estándar de la industria.
Pero recuerde que sus datos son tan seguros como las claves que usa para cifrarlos. Por lo tanto, también necesita salvaguardar sus claves de cifrado mediante un sistema de gestión de claves eficaz.
Y también es importante tener una idea clara de qué datos de titulares de tarjetas está almacenando en primer lugar, generalmente mediante el uso de herramientas de descubrimiento de datos y un inventario de sus activos de datos.
Asegúrese de configurar correctamente cada uno de sus entornos locales y de nube para cifrar los datos de los titulares de tarjetas, utilizando la seguridad de la capa de transporte (TLS), donde se mueven a través de Internet entre las diferentes partes de su ecosistema de tarjetas de pago. Considere invertir en una solución integral de seguridad de red para nubes públicas e híbridas.
También tenga en cuenta que los pagos a través de dispositivos móviles corren un riesgo especial. Así que asegúrese de que cada red inalámbrica utilice una contraseña segura y el último protocolo de seguridad wifi disponible.
Su software antivirus (AV) debe ser capaz de proteger todos los entornos que alojan su sistema de tarjetas de pago, en toda su infraestructura de nube híbrida o de nube múltiple.
Pero también es importante ser consciente de las limitaciones del software AV.
Han evolucionado tipos de amenazas nuevos y más sofisticados para apuntar a la implementación basada en la nube. Como resultado, ahora necesita una gama más amplia de enfoques de seguridad para proteger los detalles de los titulares de tarjetas, como la gestión de la postura de seguridad en la nube (CSPM) y la protección de la carga de trabajo en la nube.
El propósito del Requisito 6 es garantizar que incorpore seguridad en los procesos de desarrollo y ciclo de vida de su aplicación. Esto incluye soporte para prácticas de codificación segura a través de capacitación, pautas y listas de verificación, así como revisiones periódicas de cualquier código de aplicación interno o personalizado.
También cubre la gestión de parches, donde las disposiciones del PCI-DSS establecen que debe instalar parches críticos para el software de terceros dentro de un mes de su lanzamiento para mantener el cumplimiento.
Debe limitar el número de personas que pueden acceder a los datos del titular de la tarjeta al mínimo permitiendo que solo las personas con una necesidad comercial legítima lo hagan.
La forma más práctica de hacer esto es implementar un sistema de control de acceso basado en roles (RBAC) , que debería otorgar acceso a recursos confidenciales, como datos de titulares de tarjetas, basado en el principio de privilegio mínimo.
Cada usuario autorizado de sus sistemas debe tener una identificación y contraseña únicas. Esto asegura que siempre conozca la identidad de cualquier persona que acceda a los datos del titular de la tarjeta en cualquier momento.
También tenga en cuenta que el PCI-DSS ahora solo permite el acceso remoto a aquellos usuarios con privilegios administrativos mediante autenticación de dos factores(2FA).
Cuando aloja una aplicación en la nube pública, transfiere la responsabilidad de la seguridad física de sus servidores a su proveedor de servicios en la nube. Sin embargo, usted aún tiene la responsabilidad de garantizar la seguridad física de su dispositivo terminal.
Por lo tanto, debe tomar medidas para ayudar a prevenir el acceso no autorizado a dispositivos de pago y estaciones de trabajo mediante medidas como videovigilancia, políticas y procedimientos de seguridad, capacitación del personal, controles de bloqueo basados en el tiempo y asegurarse de que las pantallas estén fuera de la vista del público en general.
Registrar y monitorear el acceso a su sistema de tarjeta de pago le ayudará a detectar los primeros signos de actividad sospechosa y también le proporcionará alertas e información cuando las cosas salgan mal.
Las necesidades en esta área han evolucionado de la mera visibilidad a la observabilidad, no solo para mantener la visibilidad sobre todos sus componentes de procesamiento de tarjetas, sino también para identificar y remediar rápidamente cualquier problema. Para lograr esto, es posible que deba buscar herramientas de monitoreo de nueva generación que brinden visibilidad centralizada en toda su infraestructura de nube híbrida y nube múltiple.
Para complementar otras medidas de seguridad, como el escaneo AV y la administración de parches, debe verificar regularmente que su sistema de tarjetas de pago sea lo suficientemente robusto como para resistir amenazas potenciales
Esto implicará herramientas automatizadas, como el escaneo de vulnerabilidades y enfoques manuales como las pruebas de penetración. Otros procedimientos de prueba deben incluir comprobaciones periódicas en los lectores de tarjetas para detectar software de desnatación y procesos para identificar puntos de acceso inalámbrico no autorizados. Cuando sea necesario, debe tomar las medidas correctivas correspondientes.
Una política de seguridad de la información bien documentada y bien comunicada ayudará a concienciar al personal sobre los riesgos para los datos de los titulares de tarjetas y sus responsabilidades para protegerlos.
Las políticas y procedimientos pertinentes también deben incorporarse en manuales para empleados, acuerdos con proveedores externos, evaluaciones de riesgos y planes de respuesta a incidentes.
El cumplimiento de PCI-DSS es una necesidad para cualquier organización que acepte pagos con tarjeta. Pero, aunque demuestra que ha cumplido con los requisitos de referencia para el manejo de datos de titulares de tarjetas, no necesariamente garantiza una protección completa.
Además, la transformación digital y la migración a la nube han cambiado los objetivos de seguridad. Así que necesita mirar más allá de los ejercicios de marcar casitas y los métodos tradicionales de seguridad.
Esto requiere nuevas soluciones que se adapten a la naturaleza compleja y dinámica de la implementación de nubes híbridas y múltiples.
Por ejemplo, debería considerar una plataforma de protección de cargas de trabajo en la nube (CWPP), que proteja las aplicaciones individuales, así como los procesos y recursos que las respaldan. Debe complementar esto con una solución de gestión de la postura de seguridad en la nube (CSPM) , que puede identificar riesgos de seguridad mediante el monitoreo continuo y la evaluación comparativa de las configuraciones con las mejores prácticas y los requisitos de cumplimiento.
Y también debe proteger a los titulares de tarjetas contra las amenazas nuevas y cada vez más sofisticadas de hoy en día con una solución que brinde capacidades de seguridad de red en la nube .
Por encima de todo, debe buscar herramientas que brinden protección continua en lugar de simplemente lograr el cumplimiento una vez al año, con visibilidad unificada de todos los componentes de su sistema de tarjetas de pago desde un único panel.