Esta semana asistimos al congreso Segurinfo Argentina 2017, en donde se llevó a cabo el panel denominado “Cómo hacer los pagos más seguros: Novedades de PCI Security Standards Council”. Allí se discutió un caso de éxito en la implementación de los controles de seguridad definidos en el famoso estándar PCI-DSS, y se habló de las novedades del consejo, especialmente de las recientes publicaciones de guías y mejores prácticas enfocadas a pequeñas y medianas empresas.
En este artículo transmitimos algunas de estas novedades.
Estándares, guías y buenas prácticas de PCI
En su participación, el director regional del PCI Council, Carlos Caetano, destacó que las nuevas publicaciones están enfocadas a ofrecer guías y buenas prácticas que pueden ser adoptadas por las organizaciones, especialmente las pequeñas y medianas empresas. Si bien estos lineamientos no les permitirán cumplir con todos los requisitos establecidos en PCI, son una aproximación para mejorar la seguridad en los sistemas de pago.
Las nuevas publicaciones ayudarán a mejorar la seguridad en los sistemas de pago
Recordemos que PCI Security Standards Council es un foro global que tiene como propósito la formulación, mejora, almacenamiento, difusión y aplicación permanente de las normas de seguridad para la protección de datos de cuentas. Con ello, busca preservar la seguridad en los equipos utilizados en los pagos, el software, así como el entorno que involucra a los comercios y proveedores de servicios de pago.
Una publicación reciente es la Guía para la determinación del alcance de PCI-DSS y la segmentación de la red, orientado a cualquier organización, para la identificación de los sistemas que necesitan ser protegidos y dónde se requiere la implementación de controles. El documento proporciona orientación para conocer el ámbito de aplicación de PCI, así como la segmentación de la red para reducir el número de elementos que requieren controles del estándar; para determinar su alcance, un enfoque recomendado es suponer que todo debe incluirse dentro del mismo hasta que se verifique lo contrario.
Del mismo modo, un documento de reciente actualización es el que describe las Mejores prácticas para asegurar el comercio electrónico, desarrollado para conocer los riesgos y beneficios de los diferentes métodos para las realizar transacciones en línea, que tiene como base el software, hardware, procesos, servicios y metodologías.
Además, Caetano destacó la publicación de la guía de Protección contra el ransomware, que busca orientar a sus lectores para hacer frente a este tipo de malware, a partir de los controles de seguridad en PCI y de la Guía para pequeños comerciantes. Allí se explica cómo, a partir de 12 consejos básicos de seguridad como utilizar un software antivirus, instalar parches de seguridad o corregir vulnerabilidades, las pequeñas y medianas empresas pueden aumentar y mejorar sus niveles de protección.
En su participación, Martín Lambertucci y Leonardo Abbondanza hablaron de los casos de éxito en cuanto a las certificaciones de PCI, haciendo énfasis en la importancia de lograr el equilibrio entre la protección y la operación, aprovechando los beneficios de la implementación de los estándares. Así, además de cumplir los objetivos del negocio, podrá cumplirse con la norma.
