Los requisitos de Cumplimiento de PCI DSS seguirán evolucionando bajo los auspicios del Consejo de Estándares de Seguridad de PCI. Esto significa que las “modificaciones” de Seguridad que el departamento de IT implemente hoy para PCI DSS podrían no ser adecuados para cumplir los requisitos de Seguridad de datos de la próxima versión del estándar.
En cambio, los equipos de IT que tienen visión a futuro se replantean cómo se transfieren los datos y se preparan para cumplir con los cambiantes requisitos del estándar PCI DSS, entre otros. Con herramientas mejoradas y más opciones de configuración, estos profesionales construyen nuevas estrategias tecnológicas para cumplir y superar los requisitos de Cumplimiento actuales y futuros.
PCI DSS: Introducción
Algunos grupos de IT han decidido tomar un camino nuevo y creativo para el Cumplimiento del estándar PCI DSS. En lugar de luchar por cumplir los requisitos de Cumplimiento con las herramientas de transferencia de datos heredadas, están implementando soluciones de Transferencia Segura de Archivos (MFT) que incluyen DMZ Secure Gateways.
Esta estrategia única y rentable ofrece mejores herramientas, y más configurables, para ayudar a las organizaciones a cumplir con el estándar PCI DSS más fácilmente y, al mismo tiempo, sentar una buena base para futuras mejoras de Seguridad.
¿Qué es PCI DSS?
El Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS por sus siglas en inglés) es el estándar de Seguridad de la información aplicable a las organizaciones que se encargan del procesamiento de las tarjetas de pago: comercios, procesadores de datos, proveedores de servicios, adquirientes y emisores.
El estándar lo define el Consejo de Estándares de Seguridad de la Industria de las Tarjetas de Pago como un método para aumentar los controles de Seguridad sobre los datos de los titulares de las tarjetas y reducir el fraude con las tarjetas de crédito debido a una exposición accidental o deliberada.
El peligro de no cumplir con PCI DSS
Si su organización experimenta una infracción de Seguridad, el incumplimiento ocasionará multas y sanciones por parte de la marca de la tarjeta de pago (Visa, MasterCard, etc.). Las multas no son nimias y podrían dar lugar a la cancelación de su cuenta comercial por parte del banco.
Por lo tanto, es imperativo que los profesionales de IT se familiaricen con PCI DSS para aprender cómo implementar los requisitos técnicos de Cumplimiento de la forma más eficaz en sus organizaciones.
El impacto de PCI DSS en IT
PCI DSS es un estándar de Seguridad de amplio alcance con muchos requisitos y recomendaciones. A primera vista, los elementos de IT para alcanzar el Cumplimiento del estándar PCI DSS pueden no parecer demasiado complicados.
Algunos son requisitos de sentido común, como aplicar políticas de contraseñas, bloquear las redes y restringir el acceso a los sistemas que almacenan los datos de PCI. Todos requieren procesos periódicos de pruebas y validación. Pero, al igual que en muchas normas de Cumplimiento, el diablo se esconde en los detalles.
Para algunos equipos de IT, los elementos técnicos del Cumplimiento de PCI tal vez ya estén establecidos como parte del marco de Seguridad de datos de su organización. Pero, para otros, el enfoque de Seguridad más estricto de PCI DSS requerirá una revisión técnica exhaustiva de la infraestructura de IT y los procesos de validación existentes, entre otros:
- Reconfiguración de la infraestructura
- Inversión en nuevo hardware o software
- Ampliación de los procesos de auditoría o incorporación de unos nuevos
Una nueva estrategia técnica para el Cumplimiento de PCI DSS
En su desarrollo de estrategias para cumplir con el estándar PCI DSS, muchas empresas han optado por retirarle al personal de IT la carga del Cumplimiento. Han aprendido que ya no es rentable “retocar” una infraestructura de Seguridad anticuada, especialmente cuando se transfieren datos críticos y confidenciales a otras entidades.
En cambio, estas organizaciones de IT están elaborando una estrategia técnica dentro de la infraestructura de IT que puede evolucionar fácilmente para adaptarse a las nuevas demandas de Cumplimiento, a medida que éstas se definan.
¿Cómo están desarrollando esa estrategia técnica los equipos de IT? Un componente clave que están utilizando los equipos de IT más avanzados es la implementación de una solución de Transferencia Segura de Archivos (MFT).
¿Qué es la Transferencia Segura de Archivos (MFT)?
La Transferencia Segura de Archivos (MFT) es una solución de software completa y centralizada que facilita y protege el movimiento de los datos entre los sistemas a través de las redes internas, Socios de Negocio e Internet.
Las soluciones MFT trasladan las actividades de transferencia de archivos a un entorno controlado con funciones de supervisión, autenticación, encriptación, administración basada en roles, auditoría y generación de reportes.
Una solución MFT eficaz hace todo lo siguiente:
- Automatiza los procesos de transferencia de archivos entre los Socios de Negocio y los sistemas internos, y detecta y gestiona las transferencias fallidas
- Admite diversos estándares de transferencia de archivos como FTP, FTPS, SFTP, SCP, AS2 y HTTPS
- Protege las transmisiones por redes públicas y privadas mediante protocolos seguros como TLS 1.1 y 1.2, o SSH
- Proporciona esquemas potentes de autenticación con autenticación multifactor
- Protege los archivos en reposo con métodos de encriptación potentes como AES 256 y OpenPGP
- Se integra en las aplicaciones existentes mediante APIs documentadas
- Genera reportes detallados sobre la actividad de los usuarios y la transferencia de archivos
Las soluciones MFT resuelven muchas de las limitaciones de Seguridad conocidas que normalmente se asocian a FTP, y permiten a IT automatizar y validar los procesos de transferencia de archivos. Y, lo que es más importante para el Cumplimiento del estándar PCI DSS: las soluciones MFT protegen los datos confidenciales de los titulares de las tarjetas con el fin de reducir o eliminar la exposición a las amenazas debidas a ataques o errores de los usuarios.
Gracias al uso de los componentes flexibles y configurables de MFT, una organización disminuirá su exposición, aumentará las tasas de éxito de las transferencias de archivos y eliminará muchos de los obstáculos habituales en las transferencias entre empresas.
Vea cómo MFT puede ayudarlo a cumplir PCI DSS
GoAnywhere MFT lo ayuda a abordar muchos de los requisitos del estándar PCI DSS con funcionalidades como encriptación y registros de auditoría. Solicite una demostración en vivo y uno de nuestros representantes le presentará la solución en detalle y responderá todas sus consultas.