Las empresas necesitan almacenar y transferir información de tarjetas de crédito de forma digital. Esto requiere algunos estándares de seguridad de datos para evitar el cibercrimen. Es por eso que los cuatro jinetes del apocalipsis de los pagos (Visa, Mastercard, Amex y Discover) dejaron de lado su competencia para lograr el cumplimiento de PCI. En este artículo, repasaremos sus preguntas candentes: “¿Qué significa PCI” y “¿Qué es el cumplimiento de PCI”?
¿Qué significa PCI?
PCI significa industria de tarjetas de pago. La abreviatura PCI suele ir acompañada del acrónimo DSS. ¿Qué significa DSS, te estarás preguntando? Estándar de seguridad de datos. PCI DSS consiste en almacenar información de tarjetas de débito y crédito de forma segura. Estas regulaciones estandarizadas fueron propuestas por el Consejo de Estándares de Seguridad de PCI.
Es posible que las redes de tarjetas y los bancos no funcionen con su empresa si no cumple con los estándares de pago PCI. O bien, es posible que se le cobre una multa alta por cada mes que no cumpla con PCI. Por supuesto, eso significa que no puede aceptar tarjetas de crédito o puede ponerlo en un aprieto financiero.
Afortunadamente, existe una solución muy sencilla para cumplir con PCI: trabajar con su procesador de pagos para seguir las pautas y estándares. En ECS, trabajamos directamente con Authorize.net para ayudarlo a cumplir con el cumplimiento.
¿Es importante el cumplimiento de PCI en Puerto Rico?
En 2013, 40 millones de compradores de Target vieron comprometida su información financiera personal debido a algunos piratas informáticos muy dedicados (y resulta que la mayoría de los piratas informáticos están muy dedicados a su profesión). Utilizaron un correo electrónico de phishing enviado a un contratista de Target (al menos para HVAC) para ingresar por la puerta trasera de Target.
No literalmente, por supuesto, sino más bien el sistema de datos de Target. Target había dado acceso a estos sistemas al contratista de HVAC para algunos aspectos de su trabajo. Pero esto se convirtió en un talón de Aquiles que permitió a los piratas informáticos ingresar los datos de Target.
Esta saga no es exclusiva del panorama minorista. Otras grandes violaciones de datos han afectado a Yahoo (13 mil millones de cuentas comprometidas), LinkedIn (700 millones) y Facebook (533 millones). Pero los ciberataques no se centran sólo en las grandes empresas. De hecho, el 82% de los ataques de ransomware se producen contra empresas con menos de 1,000 empleados.
Profundicemos en más datos para ver cuán importante es el cumplimiento de PCI. Las pequeñas empresas reciben la tasa más alta de correos electrónicos de phishing (1 de cada 323). Sus empleados sufren un 350% más de ataques de ingeniería social.
Y las pequeñas empresas tienen algo que perder: el 87% retiene datos de sus clientes que podrían ser robados, y el 27% de ellos no tiene ningún plan para proteger los datos de pago. Ahora que hemos visto la importancia de proteger los datos de los dueños de tarjetas, echemos un vistazo a los componentes para cumplir con PCI.
El cumplimiento de PCI significa utilizar firewall
Un firewall es una fortificación digital que evita que personas desconocidas accedan a la información. Los firewall suelen ser una primera línea de defensa contra posibles piratas informáticos que intentan robar información de pago. Al igual que un muro real, están destinados a mantener alejadas las amenazas.
Los firewall son un tema complicado, pero en pocas palabras, funcionan así: el firewall crea puertas de enlace llamadas puntos de estrangulamiento a través de los cuales el tráfico web puede entrar y salir. Estas puertas de enlace también revisan el tráfico web en función de parámetros programados para eliminar a los participantes sospechosos.
Se podría usar un firewall para proteger los datos almacenados o para proteger el tráfico en vivo en un sitio. Un WAF o un firewall de aplicaciones de sitios web pueden filtrar y bloquear direcciones sospechosas. Un WAF puede estar basado en la nube o integrado en una red. De cualquier manera, es una línea de defensa contra partes no deseadas, como un delincuente que intenta recopilar números de tarjetas de crédito.
El cumplimiento de PCI en Puerto Rico significa cifrar los datos almacenados
Otro control de seguridad para proteger el acceso a los datos del dueño de la tarjeta es el cifrado. El cifrado no implica enterrar información en un sepulcro subterráneo, sino traducirla a una jerga confusa. Esta jerga confusa carecerá totalmente de sentido para los de afuera.
Esto se debe a que alguien que posee una clave de cifrado debe descifrar la jerga. Cualquiera que no tenga la clave no podrá traducir los datos en algo útil. Además, para cumplir con PCI DSS, los datos cifrados deben generarse mediante algoritmos.
Los algoritmos funcionan creando cadenas aleatorias de información. El cifrado generado por tales algoritmos sería casi imposible de descifrar para un extraño, ya que no tendría relación con nada significativo. Finalmente, además de cifrar algorítmicamente los datos del dueño de la tarjeta, las claves también deben cifrarse.
El cumplimiento de PCI significa almacenamiento seguro de contraseñas
Atrás quedaron los días en los que podías usar tu cumpleaños como contraseña. Es fácil para un ciberdelincuente descubrir quién es el dueño de su empresa (usted) y luego encontrar su fecha de nacimiento en las redes sociales. Si no pueden hacer eso, es posible que puedan comprar esa información en la web oscura.
Si sus contraseñas son demasiado fáciles de adivinar basándose en información personal, los ciberdelincuentes (incluso desde una ubicación remota) pueden ingresar a su software e incluso a su hardware. Las cosas son mucho peores si toda su información de inicio de sesión es la misma.
Para evitar este problema, las empresas que cumplen con PCI deben mantener una lista de dispositivos y sus contraseñas en un lugar seguro. También se les exige que eviten el uso de contraseñas genéricas que puedan venir preestablecidas con el hardware. Y, por último, deben contar con procedimientos para mantener las contraseñas, como cambiarlas periódicamente.
El cumplimiento de PCI significa utilizar software antivirus
El software antivirus protege su software y hardware de virus informáticos. Hay muchos tipos diferentes de virus informáticos y diferentes objetivos finales para los piratas informáticos involucrados. A veces piratean sistemas y los retienen para pedir un rescate hasta que se emite la moneda para su liberación (a menudo bitcoin o moneda digital).
En el caso del mantenimiento de registros financieros, es posible que los virus ingresen a un sistema y permitan a los piratas informáticos obtener datos confidenciales de los dueños de tarjetas. Esto es a menudo lo que sucede durante una violación de datos. A menudo se utilizará algo llamado virus troyano.
Al igual que el gran caballo de madera utilizado por los griegos en la guerra de Troya, un dato de apariencia benigna (un correo electrónico o un mensaje de texto, por ejemplo) contendrá algunos soldados ocultos que abrirán una puerta trasera y permitirán la entrada del ejército criminal. El software viral puede detectar, bloquear y eliminar dichas amenazas. Sin embargo, debe actualizarse periódicamente para defenderse de los virus más recientes.
El cumplimiento de PCI en Puerto Rico significa mantener la información privada
No hay ningún motivo para que sus empleados tengan acceso a los datos de los dueños de tarjetas. Una gran parte del cumplimiento de PCI significa que las únicas personas con acceso a la información de procesamiento de pagos son aquellas que realmente necesitan saberla.
Desafortunadamente, el robo de información financiera por parte del personal es una de las vulnerabilidades de seguridad más comunes. Piense, por ejemplo, en el entorno de un restaurante. En el pasado, los camareros de los restaurantes llevaban una tarjeta tangible a la caja registradora. La tarjeta podría estar alejada de su dueño hasta diez minutos. Durante este tiempo, un miembro del personal sin escrúpulos podría incluso anotar los números de las tarjetas.
Esto es aún más cierto cuando la información de la tarjeta se almacena digitalmente. El cumplimiento de PCI exige que los dueños de empresas demuestren que el acceso a esta información está restringido únicamente a las personas que la necesitan, sólo cuando la necesitan.
Por ejemplo, compartir una hoja de cálculo de Excel con números de tarjetas de crédito con todos los empleados puede facilitar la ejecución rápida de cargos con los clientes por teléfono, pero no cumple con PCI. Un empleado puede ser despedido o renunciar y aún poseer información confidencial de la tarjeta del cliente.
El cumplimiento de PCI significa cifrar los datos enviados
Se envían muchos datos a muchas partes diferentes todo el tiempo en el panorama de pagos. Estos datos, al igual que los datos almacenados, deben estar cifrados. Recuerde que cifrar datos significa convertirlos en jerga sin sentido, generalmente con la ayuda de un algoritmo.
Por ejemplo, supongamos que tiene un contratista con acceso físico a un dueño de tarjeta que usted no tiene en la oficina. Este contratista le envía un mensaje de texto con una imagen de la tarjeta de crédito del cliente, por delante y por detrás. Este no es un medio compatible con PCI para transmitir información de tarjetas ya que no está cifrado.
¿Qué sucede después cuando ese contratista va a Flanigan’s después del trabajo a tomar una cerveza fría (o seis) y luego deja su teléfono en la barra mientras va al baño? Alguien podría venir, mirar esta foto y anotar el número de la tarjeta. No se puede confiar en la suposición de que la mayoría de las personas utilizan contraseñas en sus teléfonos.
De hecho, no puedes confiar en nada más que en el cifrado cuando se trata de enviar información. Todos los participantes en el procesamiento de pagos hoy en día (redes de tarjetas, bancos y procesadores de pagos) cifran los datos enviados.
El cumplimiento de PCI en Puerto Rico significa actualizar su software
El software antiguo puede estar lleno de agujeros (proverbiales) a través de los cuales los ciberdelincuentes pueden ingresar a sus sistemas. Para tener una idea de este problema, piense en un edificio físico real. Con el tiempo, el edificio se desgasta. Las puertas de madera deterioradas son más fáciles de derribar. El concreto se desmorona y es más fácil de romper. Es más fácil para los delincuentes irrumpir y entrar en la propiedad.
Lo mismo ocurre con el software antiguo. Es posible que los delincuentes hayan aprendido a explotar cierto punto débil del software o del software antivirus destinado a protegerlo. Los parches de software pueden cubrir estas proverbiales brechas reparando el área con una actualización. Las actualizaciones de todo el sistema pueden revisar todo el sistema.
El software antivirus actualizado, por ejemplo, es crucial para frustrar las últimas amenazas evolucionadas de la ciberdelincuencia. Para darle una idea de cuán urgentemente consistentes deben ser estas actualizaciones, sepa que cada día se crean miles de nuevos virus cibernéticos.
El cumplimiento de PCI significa proteger físicamente los datos almacenados
Los datos no siempre son sólo digitales. A veces, la información de pago se almacenará en papel, como un formulario contractual para autorizar un pago recurrente. Alternativamente, la información almacenada podría incluir una lista maestra de contraseñas y dispositivos en la empresa.
Estos datos confidenciales deben almacenarse físicamente de forma segura. Esto significa, por ejemplo, detrás de candado y llave (o candado combinado). En un entorno minorista tradicional, puede resultar tentador publicar una hoja de cálculo con dispositivos y contraseñas en la sala de descanso de los empleados. Después de todo, si estás jugando golf, no querrás tener que atender una llamada telefónica para preguntarte cómo iniciar sesión en el wifi.
Pero este es el tipo de información confidencial que es necesario almacenar de forma segura. Además, cada vez que se acceda a estos datos se deberá registrarlos, junto con el motivo del mismo. Esto nos lleva al siguiente punto…
El cumplimiento de PCI significa tener registros de acceso
Como se acaba de mencionar, el acceso a los datos debe registrarse. Por ejemplo, si es necesario reiniciar un POS y un empleado necesita descansar la vista en la codiciada hoja maestra sagrada de contraseñas, se debe registrar la fecha, la hora y el motivo de esa mirada.
No exigir la firma de un libro de registro para acceder a los datos abre la puerta a todo tipo de problemas. Por un lado, los empleados pueden acceder a los datos con indiferencia y luego dejarlos fuera para que otras personas los encuentren. Crear un proceso mediante el cual se respeten las formalidades hace que sea más difícil que se produzcan errores por descuido.
Otro beneficio de este acceso restringido es que puede ayudar a rastrear el origen de una violación de datos. Si sabe que tal o cual empleado accedió a los datos del dueño de la tarjeta en un momento determinado en una fecha específica, puede interrogarlo a él y a otros empleados de turno en caso de una infracción.
Si su acceso se produjo digitalmente, puede examinar mensajes de texto, correos electrónicos y otras correspondencias que podrían haber contenido un caballo de Troya. Este trabajo de investigación se facilita registrando la fecha y hora en que se accedió a los datos, de modo que se pueda identificar el acceso injustificado.
El cumplimiento de PCI en Puerto Rico significa identificadores únicos
El acceso a información confidencial debe tener identificadores individuales para iniciar sesión en los sistemas que retienen los datos de los dueños de tarjetas. Por ejemplo, no debería haber una contraseña compartida por una docena de personas para acceder a la información de pago almacenada.
Las identificaciones únicas crean menos vulnerabilidad, especialmente si existen otros sistemas para impedir su uso. Por ejemplo, (en un ejemplo de muy alta tecnología), los registros de los empleados se pueden coordinar con la disponibilidad de contraseñas específicas para que sólo los empleados en servicio puedan aprovechar su identificación. Esto por sí solo hace que a los delincuentes les resulte más difícil acceder a la información si una persona compromete su identificación.
Las identificaciones únicas también pueden ayudar a aislar una filtración de datos. Si se sabe qué identificación se utilizó para acceder a dichos datos, se puede pedir cuentas a esa persona o se puede iniciar una investigación sobre quién usó su identificación para acceder a la información confidencial.
El cumplimiento de PCI significa crear flujos de trabajo y procedimientos
Los flujos de trabajo y los procedimientos dictan cómo opera su negocio. Casi todas las corporaciones tienen gruesos manuales que especifican cada detalle de la política de la empresa, desde reglas sobre las pausas para ir al baño de los empleados hasta estrategias de marketing de alto nivel.
Es posible que su pequeña o mediana empresa no tenga dicha copia de Guerra y Paz. Pero probablemente tenga algunos flujos de trabajo y procedimientos que se hayan convertido en tradiciones. Por ejemplo, tan pronto como giras el letrero de cerrado para abrirlo, puedes encender el gato de la suerte que funciona con baterías junto a la caja registradora (miau).
Desafortunadamente, las tradiciones no son suficientes para cumplir con PCI. Debe contar con procedimientos documentados que describan el flujo de información y cómo se protege. Una política de la empresa respecto del cumplimiento de PCI puede especificar, por ejemplo, quién puede acceder a la información de pago y bajo qué circunstancias.
El cumplimiento de PCI significa escanear y probar constantemente
No es suficiente implementar el cumplimiento de PCI y dormirse en los laureles. Por supuesto, si tiene un negocio, de todos modos no hay mucho tiempo para dormirse en los laureles. Pero para mantener el cumplimiento de PCI, necesita verificar sus sistemas de manera constante y proactiva.
Además de los estándares generales establecidos por el PCI Security Standards Council, debes tener un cuestionario de evaluación para tu negocio. ¿Está actualizado el software antivirus? ¿Todos los sistemas de hardware son funcionales? ¿Cambiaste las contraseñas este mes? ¿Se concretan por escrito los procedimientos para acceder a la información de pago?
Estas preguntas están contenidas en el PCI SAQ o cuestionario de evaluación de seguridad. El cuestionario de evaluación SAQ debe enviarse periódicamente para garantizar el cumplimiento de PCI. Tenga en cuenta que existen varios tipos de SAQ, según el tipo de negocio que ejecute.
Más allá del SAQ, una evaluación periódica incluye escanear y probar su software. Se espera que el mercado mundial de ciberseguridad de IT alcance una valoración de mercado de 425 mil millones de dólares para 2030, con un crecimiento CAGR de casi el 14%. Es mucho dinero invertido en defensa proactiva. Su empresa también debe ser proactiva en materia de defensa, ya que el 61% de las pequeñas y medianas empresas fueron sometidas a un ciberataque en 2023.
Cómo cumplir con PCI en Puerto Rico
Algunas empresas no pueden simplemente restringir el acceso a un dueño de tarjeta en términos de cobro de pagos recurrentes. Necesitarán almacenar los datos del dueño de la tarjeta. Incluso las empresas que no están basadas en suscripciones pueden querer permitir a los clientes crear cuentas de fidelidad, en las que se guarda la información de pago.
Se deben cumplir ciertos estándares de seguridad para que Visa, Mastercard, Amex o Discover trabajen con usted. En términos de contraseñas, no puede utilizar los valores predeterminados proporcionados para los sistemas. No puede utilizar una red pública (como la wifi del centro comercial) para almacenar información del cliente. Debe rastrear y monitorear las amenazas cibernéticas con software antivirus.
Algunas de estas cosas parecen bastante fáciles de hacer por tu cuenta. Pero otros, como cifrar datos y probar y monitorear sus sistemas, pueden ser un poco más desafiantes.
Es posible que necesite un equipo de IT dedicado para monitorear sus sistemas de seguridad. Pero el procesador de pagos adecuado, como ECS Payments, por ejemplo, puede estar seguro de ofrecer soluciones de pago con funciones de seguridad integradas, como cifrado y tokenización.
Si tiene alguna pregunta sobre el cumplimiento de PCI, lo que implica y qué riesgos existen sin él, llámenos o contáctenos.