Brechas en los datos de las tarjetas de pago

Fecha: Jue, 07/10/2010 - 13:13 Fuente: Dpto. de comunicación de Verizon Business

Un informe de Verizon Business indica que las organizaciones siguen teniendo dificultades para cumplir los requisitos de seguridad del PCI
Brechas en los datos de las tarjetas de pago

Aunque las brechas en los datos de las tarjetas de crédito siguen ocurriendo con excesiva frecuencia, un nuevo informe de Verizon Business demuestra que el cumplimiento de las normas de seguridad del sector puede contribuir enormemente a reducir tales incidentes.
En el Informe de Verizon sobre conformidad del sector de las tarjetas de pago, el primero de su clase, la empresa examina la situación actual en cuanto al cumplimiento de la norma de seguridad de los datos del sector de las tarjetas de pago, o PCI DSS por sus siglas en inglés, creada en el año 2006 para proteger los datos de los titulares de tarjetas y reducir el fraude en el sector.  Los investigadores descubrieron que hay un 50 por ciento menos de probabilidades de que las organizaciones afectadas hayan cumplido con el PCI y que sólo el 22 por ciento cumplía con dicha norma en la fecha del examen inicial.  
Además de evaluar la eficacia de la PCI DSS, el informe identifica los métodos de ataque más comunes y recomienda formas de obtener y mantener la conformidad con el PCI.
El informe se basa en los resultados de las evaluaciones de PCI DSS que el equipo de asesores de seguridad cualificados (QSA) de Verizon llevó a cabo en 2008 y 2009, y en un análisis de unos 200 casos. En su rol de QSA, Verizon audita y evalúa la conformidad de las empresas con la norma PCI DSS, que el Consejo del PCI, organismo regulador de las normas y conformidad del PCI, actualiza constantemente.
«El Informe de Verizon sobre conformidad del sector de las tarjetas de pago ofrece un panorama completo de la conformidad del PCI en todos sus aspectos, apuntando especialmente a aquellos requisitos que resultan más difíciles de cumplir» -explica Peter Tippett, vicepresidente de Tecnología e innovación de Verizon Business-.  «Esperamos que este informe ayude a las organizaciones a abordar el tema de la conformidad del PCI de una manera más documentada y eficaz.  En última instancia, queremos lo mismo que el resto del sector: reducir las pérdidas de tarjetas de crédito y las brechas en los datos».
 
Resultados más destacados
 
El informe concluye que los requisitos del PCI que presentamos a continuación pueden disminuir las posibilidades de una brecha. Además, para obtener un cuadro más completo de los datos, Verizon añadió los resultados de los casos de brechas en tarjetas de pago incluidos en el Informe sobre investigaciones de brechas en la seguridad de los datos del año 2010 (DBIR), para después analizar y combinar ambos grupos de datos en busca de factores comunes.  Entre las principales conclusiones se encuentran las siguientes:  
•        Sólo el 22 por ciento de las organizaciones cumplen con la norma inicialmente.  La mayor parte de las organizaciones no cumplían con los requisitos del PCI en la fecha del informe inicial de conformidad, cuando los QSA de Verizon evaluaron a la organización por primera vez.  La mayoría de las organizaciones en plena conformidad tenían experiencia con el proceso o no necesitaban cumplir todos los requisitos. 
•        La conformidad no es imposible.  Aunque en un principio existe un 78 por ciento de organizaciones que no cumplen con la norma inicialmente, el informe concluye que, como media, las empresas cumplen con el 81 por ciento de los procedimientos requeridos por el PCI.  De hecho, tres cuartos de las organizaciones cumplen con el 70 por ciento de los procedimientos de prueba como mínimo, lo que significa que una mayor diligencia resultaría en la conformidad total.  Únicamente el 11 por ciento cumple menos de la mitad de los procedimientos de prueba durante la evaluación inicial. 
•        Las organizaciones afectadas presentan un 50 por ciento menos de probabilidades de haber alcanzado o mantenido la conformidad con el PCI.  Al final de cualquier investigación forense o de una brecha en los datos, los investigadores de Verizon evalúan el grado de conformidad con el PCI.  La comparación de la evaluación de los datos por parte de los analistas de Verizon con los análisis del PCI ha determinado que las organizaciones que han sufrido una brecha en la seguridad de los datos tienen un 50 por ciento menos de probabilidades de haber cumplido con la norma que los clientes del PCI.  Esto indica que la conformidad con el PCI puede prevenir brechas en los datos.
•        Existe una correlación entre las brechas en los datos y las dificultades que tiene una empresa para cumplir con algunos de los requisitos del PCI. Según el informe DBIR, de los 12 requisitos que conforman la norma PCI DSS, tres de ellos -proteger los datos almacenados, supervisar el acceso a los recursos de la red y a los datos de las tarjetas de crédito, y hacer pruebas periódicas de los sistemas y procesos de seguridad- abarcan las áreas más vulnerables a brechas en la seguridad.  No obstante, estos son los tres requisitos más difíciles de cumplir para las organizaciones.
 
La norma aborda los métodos de ataque más comunes
La combinación de los datos de las evaluaciones del PCI y el análisis posterior a la brecha, ha permitido que los analistas de Verizon clasifiquen los métodos de ataque  más frecuentes: malware y hacking (25 por ciento), inyecciones de SQL (24 por ciento) y explotación de credenciales predeterminadas y fáciles de adivinar (21 por ciento). 
El informe indica que los requisitos del PCI cubren los métodos de ataque que se emplean con más frecuencia para capturar los datos de los titulares.  En algunos casos, existen varios niveles de control en la norma.
«Los resultados demuestran que el cumplimiento de los requisitos de PCI DSS pueden ayudar a las organizaciones a disuadir, prevenir y detectar amenazas contra la seguridad» -afirma Tippett.    
 
Recomendaciones
 Entre las mejores prácticas de las organizaciones en plena conformidad se encuentren las siguientes:
•        Integrar la seguridad. La seguridad tiene que estar integrada en los procesos empresariales desde el principio y no añadirse a posteriori.  Las organizaciones que adoptan esta práctica gastan menos recursos y obtienen más utilidad de las actividades de conformidad.
•        La conformidad no puede separarse de la seguridad.  Las organizaciones que alinean la seguridad y la conformidad tienden a alcanzar más rápidamente la conformidad con normas de seguridad como la PCI DSS.  Las organizaciones consideradas como conformes con la norma tienden a tener un solo equipo a cargo de la gestión de la conformidad y la seguridad, o tienen dos equipos que colaboran estrechamente.
•        No tratar la conformidad como un proceso puntual sino continuo.  Las organizaciones deben incorporar las actividades de PCI en sus operaciones diarias.  Los problemas surgen cuando se consideran un proyecto mensual, trimestral o anual.
•        Controlar los datos más estrechamente.  Uno de los problemas más comunes es la incorporación de actividades que se salen del ámbito de los requisitos del PCI por un exceso de celo para asegurar la conformidad.  Es esencial descubrir, controlar y gestionar los datos.  Cuanto mayor sea el alcance de la evaluación, más costosa y complicada resultará para la organización.

valorar este articulo:
Su voto: Nada

Enviar un comentario nuevo

Datos Comentario
El contenido de este campo se mantiene como privado y no se muestra públicamente.
Datos Comentario
Datos Comentario
Enviar