Sin categoría

3 grandes mitos del cumplimiento de PCI-DSS

Héctor R. Jara, Information Security Consultant

 

Por: Héctor R. Jara, Information Security Consultant 

 

PCI-DSS es un estándar de seguridad creado por las principales compañías de tarjetas de crédito y débito para proteger los datos de pago. Plantea una serie de requisitos que todas las empresas que operen con tarjetas deben cumplir. Producto de este estándar, en el imaginario de las compañías se han creado algunos mitos sobre su cumplimiento. A continuación echaremos luz sobre tres de ellos. 

 

El cumplimiento de PCI es solo un proyecto de IT

 

Una creencia muy arraigada en los mandos medios y ejecutivos es que la seguridad es una responsabilidad únicamente de IT. Suelen asociar el cumplimiento de los requisitos de seguridad a la implementación de medidas técnicas y operativas. Si bien el personal de IT es el encargado de implementar muchas de ellas, el cumplimiento de PCI y de otras regulaciones de seguridad, es una responsabilidad de la compañía en su conjunto, con los mandos ejecutivos como principales responsables e impulsores. 

 

Imagine por un momento que su empresa sufre un incidente de seguridad sobre los datos de tarjetas. El impacto no es sólo tecnológico, ya que tendrá consecuencias legales, financieras y reputacionales (¿usted confiaría en una entidad a la que le robaron datos tan sensibles?). Por esta razón, el cumplimiento de PCI involucra a personas de distintas áreas: RRHH, finanzas, tecnología, seguridad, legales, etc.

 

Por otro lado, el cumplimiento de PCI no debe verse como un proyecto con un inicio y fin definidos. Al igual que cualquier regulación, su cumplimiento es un proceso continuo, que se evalúa y mejora constantemente.

 

Los requisitos de PCI son muy complejos y no son razonables

 

Un comentario habitual es que los requisitos de PCI son difíciles de cumplir y que no aplican a todas las empresas. Sin embargo, la realidad marca que la mayoría de los controles propuestos están alineados con las mejores prácticas de la industria y son similares a los de otros estándares, por ejemplo ISO 27.001. Incluso, cuando por razones de negocio hay requisitos que no se pueden cumplir, es perfectamente válido implementar controles compensatorios que mitiguen el riesgo. 

 

Adicionalmente, PCI provee un alto nivel de detalle y documentación complementaria que facilita su cumplimiento, razón por la cual también se utiliza para proteger otros datos sensibles, no sólo los de tarjetas.   

 

Para cumplir con PCI es indispensable contratar un QSA

 

PCI no exige la contratación de un QSA para su cumplimiento. En empresas de gran tamaño y complejos sistemas de IT, su contratación es quizás un paso natural. Sin embargo, pequeñas y medianas empresas no tienen por qué hacerlo. Pueden utilizar el Cuestionario de auto-evaluación (SAQ) y seguir los pasos requeridos por PCI, o bien contratar asesoramiento externo que aporte su experiencia y simplifique el cumplimiento de esta regulación.

Este artículo está clasificado como: , , , ,

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR