Fecha de publicación: 03-02-2017 | Categorías: Cumplimiento, PCI
Si trabaja en una organización que procesa información de tarjetas de crédito o de débito, seguramente ha oído hablar sobre PCI DSS. Esta regulación de Seguridad tiene como objetivo prevenir filtraciones de datos que pueden resultar costosas y perjudiciales para su empresa. Pero, ¿cuánto sabe realmente sobre el cumplimiento de esta normativa? A continuación, le presentamos algunos datos que seguramente le resulten interesantes.
Esta es la mejor noticia del listado. De acuerdo al último Reporte de Cumplimiento de PCI DSS de Verizon, el número de empresas que cumplen con todos los requisitos al momento de la evaluación interna crece rápidamente año a año.
Más allá de que cada son vez más las empresas alineadas con PCI DSS, el número de organizaciones en cumplimiento sigue siendo bajo. De acuerdo con el reporte de Verizon, cuatro de cada cinco compañías aún fallan en la evaluación interna.
Una encuesta de Newscycle Solutions descubrió que solo un pequeño número de ejecutivos confía en haber alcanzado el cumplimiento de PCI DSS. Otro 13% no está seguro. Pese a que esta estadística representa a una industria específica, la sensación de inseguridad en relación con el cumplimiento de los estándares de PCI DSS es común en todas las industrias. Esto se debe, principalmente, a que la infraestructura de IT es cada vez más compleja, las reglas de PCI DSS cambian con frecuencia y muchas compañías no cuentan con la experiencia necesaria.
Luego de validar el cumplimiento de PCI DSS, muchas compañías la eliminan de su lista de prioridades. Lamentablemente, menos de un tercio de las empresas ha logrado mantener el cumplimiento un año después. Demostrar el cumplimiento de PCI DSS puede ser un gran alivio, pero no mantendrá a su negocio a salvo de las amenazas de Seguridad para siempre. El reporte de Verizon recomienda construir un marco robusto de políticas de Seguridad, procedimientos y mecanismos de testeo, para garantizar el cumplimiento durante todo el año.
Uno de los aspectos de PCI DSS que parece difícil de entender, es que las multas por falta de cumplimiento se aplican a los procesadores de pagos o a las compañías de tarjetas de crédito (los adquirientes) que trabajan con el negocio que está fuera de cumplimiento. Esas multas abarcan un rango que va desde USD 5.000 a USD 100.000 por mes. Obviamente, luego los adquirientes van a reclamar ese dinero a las empresas, seguramente con nuevas penalidades y gastos de transacciones.
La estadística sirve en caso de que piense que los estándares de PCI DSS solo son importantes para los auditores. En los diez años que el equipo forense de Verizon lleva investigando el cumplimiento de PCI DSS, nunca encontraron una compañía que cumpliese 100% con PCI DSS, al momento de sufrir una violación de datos.
Un estudio de 2017 elaborado por SecurityMetrics reportó que la mayoría de los casos en los que los datos se vieron comprometidos, fueron originados desde accesos remotos no seguros. PCI DSS reconoce los accesos remotos como una vulnerabilidad y, en su requisito 8.3, indica a las empresas que deben protegerse mediante la "implementación de la autenticación de doble factor para accesos remotos a la red, en mano de empleados, administradores, y terceros”.
De acuerdo a Ponemon Institute, organización que registra cada año los costos de las filtraciones de datos, la cifra actual ha aumentado 29% desde 2013.
Según Verizon, la mayoría de los consumidores dudaría al momento de hacer negocios con una empresa víctima de una filtración de datos. Si usted tiene problemas para justificar el costo de una robusta solución de Seguridad, este es el dato que necesita tener en cuenta. Tomar a la ligera el cumplimiento de PCI DSS puede llevarlo a perder clientes y dañar la reputación de su marca.
A partir del punto número 6, el estudio de SecurityMetrics también descubrió que los comerciantes que sufrieron filtraciones no cumplían con un significativo porcentaje de los requerimientos de PCI DSS. El reporte supone que esta falta de cumplimiento corresponde a la escaza confianza sobre la efectividad de los requerimientos, o la creencia de que son muy técnicos o muy costosos para implementar.
Es evidente que a la mayoría de las empresas le resulta complejo alcanzar el cumplimiento de PCI DSS. Sin embargo, no tiene por qué ser complicado. Busque una solución de software de Seguridad que proteja sus datos críticos utilizando métodos actualizados, que generen un registro detallado para los auditores, y le permita testear fácilmente su cumplimiento de PCI DSS.
Mientras tanto, lea este whitepaper y conozca cuáles son los cambios de la normativa que entraron en vigencia este año.
