La seguridad de las tarjetas de pago sigue siendo problemático, poniendo en peligro la información confidencial de los clientes

Fecha: Vie, 04/11/2011 - 12:26 Fuente: Dpto. de comunicación de Verizon

La falta de cumplimiento incrementa el riesgo de brechas, según informe de Verizon
La seguridad de las tarjetas de pago sigue siendo problemático, poniendo en peligro la información confidencial de los clientes

Imagen de la feria CARTES, en París, dedicada a la seguridad digital

Foto cortesía de CARTES

Por segundo año consecutivo, un informe de Verizon concluye que un gran número de empresas tiene dificultades para cumplir con las normas de seguridad de las tarjetas de pago, lo que pone en peligro la información confidencial de los clientes.
Según el Informe de Verizon sobre cumplimiento del sector de las tarjetas de pago, la mayoría de las empresas que aceptan tarjetas de crédito o débito continúan teniendo dificultades para cumplir con la norma de seguridad de los datos del sector de las tarjetas de pago (PCI DSS).  Por este motivo, el riesgo de perder información confidencial de los clientes y a sufrir fraudes con tarjeta de crédito es mayor. 
Muchas empresas no consiguen mantener el cumplimiento, aunque ahora se enfrenten a sanciones más elevadas por parte de las marcas de tarjetas, que pueden incluir multas y la imposición de cargos por operación más altos.  Por otra parte, también se ven presionadas por sus socios y clientes para que demuestren que cumplen con la norma.
Además de analizar la situación general del cumplimiento de la PCI DSS, el informe examina el grado de cumplimiento de cada uno de los 12 requisitos de la misma y ofrece recomendaciones para conseguir y mantener el cumplimiento.
«Esperamos que cada vez más organizaciones cumplan con la norma PCI, ya que pensamos que en última instancia este cumplimiento reforzará la seguridad de la organización y prevendrá una gran cantidad de brechas» -afirma Wade Baker, director de inteligencia de riesgo de Verizon-.  «Este informe ayudará a las empresas a decidir la mejor forma de enfocar sus esfuerzos y a implementar nuestras recomendaciones para acelerar el cumplimiento con PCI.  Nuestro objetivo final es crear un entorno más seguro para consumidores y empresas».
 
Los resultados del informe PCI se basan en evaluaciones y brechas de datos reales
El informe se basa en las más de 100 evaluaciones de la norma PCI DSS que el equipo de asesores cualificados en seguridad de PCI de Verizon ha llevado a cabo en 2010, así como en datos recabados por el grupo de respuesta de investigación de la empresa en sus investigaciones de casos reales de brechas en los datos de tarjetas de pago.  Además de esto, el equipo de inteligencia de riesgo de Verizon combinó los resultados de las evaluaciones con los casos del Informe de 2011 sobre investigaciones de brechas en los datos, lo que ha permitido reunir un grupo de datos mucho más completo.
Las evaluaciones incluyen datos de organizaciones en Estados Unidos, Europa y Asia, como reflejo del ámbito internacional de la norma del PCI.

Resultados destacados
Entre los resultados más destacados del informe de Verizon de 2011 sobre cumplimiento del sector de las tarjetas de pago se encuentran los siguientes:  
•        Aunque la situación del cumplimiento no ha empeorado ni mejorado, sigue siendo decepcionante. Solo el 21 por ciento de las organizaciones cumple íntegramente con los requisitos en la auditoría inicial.  El informe apunta como posibles motivos a las dificultades que se presentan a la hora de conseguir el cumplimiento, junto con un exceso de confianza, complacencia y la necesidad de concentrar los esfuerzos en otros aspectos del cumplimiento y la seguridad.
•        La falta de cumplimiento con PCI sigue siendo una de las causas de las brechas en los datos.   El informe de este año vuelve a demostrar que las organizaciones afectadas tienden a ser aquellas que no cumplen con la norma PCI y que estas son también las organizaciones más expuestas al robo de identidad y al fraude.
•        Las organizaciones tienen dificultades para cumplir con algunos de los requisitos clave.  Los requisitos cuyo cumplimiento presenta mayores dificultades son el número 3 (proteger los datos del titular de la tarjeta), el 10 (hacer un seguimiento y supervisar el acceso), el 11 (someter a pruebas periódicas a los sistemas y procesos) y el 12 (mantener las políticas de seguridad), todos los cuales se relacionan directamente con la protección de los datos del titular de la tarjeta.
•        La falta de priorización de las labores de cumplimiento hace que se pasen por alto algunas amenazas de alto riesgo.  El enfoque priorizado se lanzó en el año 2009 para ayudar a las organizaciones a identificar y reducir el riesgo al que están expuestos los datos de los titulares de las tarjetas y para facilitar el proceso anual de PCI.  El informe señala que en lugar de abordar el cumplimiento de PCI desde el punto de vista del riesgo, las organizaciones se guían por la PCI DSS.  Como resultado, muchas de ellas no tienen en cuenta algunas amenazas contra la seguridad que conllevan un riesgo muy elevado y que pueden tener repercusiones muy graves.  
•        La norma PCI ofrece protección contra los ataques más comunes. Los métodos más frecuentes para obtener acceso a los datos de las tarjetas son el malware y el hacking.   La función de algunos requisitos de PCI que son similares en naturaleza es evitar este tipo de ataques. 

Recomendaciones para alcanzar el cumplimiento
Partiendo de un extenso análisis, Verizon ofrece las siguientes recomendaciones para ayudar a las organizaciones a cumplir sus metas de cumplimiento del PCI:
•        El cumplimiento tiene que ser un proceso diario y continuo.   El cumplimiento exige la adherencia continua a la norma. Esto significa analizar los registros a diario, supervisar la integridad de los ficheros semanalmente, escanear vulnerabilidades cada trimestre y efectuar pruebas de penetración todos los años.   Para conseguir todos estos objetivos, Verizon recomienda designar a una persona que se encargue de integrar el cumplimiento en las actividades cotidianas de la empresa.
•        La autoevaluación debe ser exhaustiva o debe confiarse a un tercero.  Los comercios de nivel 1 y 2 -aquellos que tramitan grandes volúmenes de operaciones con tarjetas de pago- pueden evaluarse a sí mismos de forma independiente.  No obstante, debido a los muchos problemas y conflictos que esto puede acarrear, Verizon recomienda encarecidamente que un tercero independiente se encargue de validar el alcance de la evaluación o incluso de realizar las pruebas mismas.
•        El listón subirá para todos.   En octubre de 2010, el PCI Security Standards Council anunció la norma PCI DSS versión 2.0.  Esta versión requiere un resumen ejecutivo más exhaustivo y la validación de la metodología para definir el alcance.  Todas las organizaciones, muchas de ellas con dificultades graves a la hora de cumplir las normas vigentes hoy en día, necesitan prepararse rápidamente para la nueva versión.
  
En el informe completo pueden encontrarse otros resultados y recomendaciones (http://www.verizonbusiness.com/go/2011pci/us).

valorar este articulo:
Su voto: Nada

Enviar un comentario nuevo

Datos Comentario
El contenido de este campo se mantiene como privado y no se muestra públicamente.
Datos Comentario
Datos Comentario
Enviar