El estándar de seguridad de datos PCI (Payment Card Industry) exige controles fundamentales, la mayoría de los cuales constituyen las mejores prácticas en la seguridad de la información. Es una norma que pretende abordar todos los negocios y entornos tecnológicos que almacenan, procesan o transmiten datos de tarjetas de pago. Un mínimo cumplimiento de dichas normas PCI no pueden proteger adecuadamente los datos de la tarjeta. Por lo tanto, es necesario llevar a cabo una evaluación del riesgo con arreglo a los requisitos de PCI.
La delincuencia organizada sigue el negocio de incumplir los datos de la tarjeta y comete fraudes para beneficiarse de sus esfuerzos. Estos negocios están en auge y están reinventándose continuamente. El nivel de sofisticación es evidente. Una violación reciente fue identificado por el punto común de análisis de fraude de la compra. Se llevó a dos equipos de medicina forense para encontrar la fuente del compromiso. Los hackers también utilizan malware para recoger la tarjeta sin cifrar datos almacenados en la memoria del sistema. Estos hackers son innovadores y pacientes. Lentamente se infiltran en un entorno, aprenden cómo fluye la información de las tarjetas y sutilmente sondean en busca de vulnerabilidades. Crean malware personalizadas únicos para el entorno de TI y la prueba contra el software antivirus para evitar la detección. A continuación, instalan el malware y explotan la solicitud de pago. Una vez que los datos de la tarjeta han sido violados, los hackers cifran datos robados y utilizan herramientas anti-forensic para evitar la detección.
1) Soporte de Gestión
Se necesitan recursos para llevar a cabo una evaluación global de riesgos. Explicar el actual panorama de amenazas a la alta gerencia. Determinar su tolerancia al riesgo y solicitar su apoyo activo. En una organización pequeña podria pensarse en un profesional de la seguridad externo. En una organización de tamaño medio, considere la posibilidad de contratar a un profesional de seguridad a tiempo completo. En una organización grande, un pequeño equipo debe dedicarse a la evaluación de riesgos de la tecnología.
Se necesitan recursos para llevar a cabo una evaluación global de riesgos. Explicar el actual panorama de amenazas a la alta gerencia. Determinar su tolerancia al riesgo y solicitar su apoyo activo. En una organización pequeña podria pensarse en un profesional de la seguridad externo. En una organización de tamaño medio, considere la posibilidad de contratar a un profesional de seguridad a tiempo completo. En una organización grande, un pequeño equipo debe dedicarse a la evaluación de riesgos de la tecnología.
Es necesario involucrar a miembros de varios equipos para llevar a cabo la evaluación del riesgo. Considerar la posibilidad de establecer un proyecto para identificar a los participantes, llevar a cabo la evaluación y finalizar la corrección.
2) Sistemas y flujos de datos
Crea documentos con diagramas de flujo de datos donde se almacenan, procesan y transmiten números de tarjetas de pago. Desde el estándar de seguridad de datos PCI, estos diagramas deben detallar los flujos de datos físicos y lógicos, "incluida la transmisión y procesamiento de datos de la tarjeta, autorización, captura, asentamiento, cargo al usuario y otras corrientes como aplicable". Como práctica recomendada, analizar datos de tarjeta de pago fuera del entorno de PCI por lo menos anualmente.
A continuación, establece un inventario para documentar los sistemas, aplicaciones y bases de datos asociados a cada entorno de PCI. Incluir detalles como el propietario de la información, custodios de datos, los administradores de la aplicación, análisis de red PCI y cuándo se realizó la última evaluación de la aplicación.
3) Conclusión
Cada organización debería proteger su sistema de tarjetas de pago en concordancia con su nivel de negocio y sus objetivos. La Seguridad nunca es opcional, y el daño económico y de reputación de un posible impacto en un brecha de seguridad con un sistema identificado como seguro de pago con tarjeta sería el PDF: el Principio Del Fin. La concienciación siempre debería ser nuestra mejor aliada con miras a contratar a expertos en Seguridad, que seguramente evitarán o mitigarán los accesos no autorizados.
No hay comentarios :
Publicar un comentario