Un desafío que suele obviarse en cuanto al Cumplimiento de PCI son las ocasiones en las que los clientes envían por correo electrónico los datos de su tarjeta de crédito en un intento de agilizar un pedido o un reembolso, o si tienen problemas para hacer un pedido por Internet. Estas acciones son de todo menos útiles y pueden causar problemas a las organizaciones que necesitan proteger los datos de las tarjetas de pago en conformidad con los requisitos del Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS, por sus siglas en inglés), que establece que la información de las tarjetas de crédito no se debe capturar, transmitir ni almacenar.
La cuestión del Cumplimiento de PCI DSS
Históricamente, los equipos de IT y de Cumplimiento han confiado en que los empleados eliminen manualmente estos correos electrónicos, informen del problema para su posterior seguimiento y respondan al cliente en un mensaje separado, haciéndole saber que la es política de la empresa es no aceptar información de tarjetas de pago a través de este canal de comunicación. Sin embargo, este enfoque manual de la Seguridad de los datos de las tarjetas de crédito expone tanto al cliente como a la organización a riesgos y errores indebidos.
El correo electrónico no es el único canal de comunicación que genera riesgos. Una infracción similar puede producirse fuera del correo electrónico, cuando un cliente envía la información de su tarjeta de pago a través de un formulario web de “contacto” de una organización que no cumple los estándares, una cuenta de redes sociales o una plataforma de mensajería instantánea o chat. Suelen ser aplicaciones front-end que insertan información en otros sistemas que, a su vez, almacenan y multiplican los datos por sus servidores web, herramientas de automatización de marketing y CRM. En cualquier caso, los datos de las tarjetas de pago se distribuyen por su entorno y deben contenerse, protegerse y administrarse conforme a las directrices de PCI DSS.
Para hacer frente a este reto, las organizaciones utilizan gateways web y de correo electrónico que cumplen con PCI y cuentan con tecnologías automatizadas de escaneo y ocultación de datos para eliminar los datos de las tarjetas de pago antes de que lleguen a su destinatario. Como resultado, esto ayuda a garantizar el Cumplimiento de PCI y evita tener que limpiar manualmente el rastro de datos de PCI que deja detrás de sí.
Redacción: Una solución automatizada para el Cumplimiento de PCI
Secure Email Gateway emplea la tecnología Adaptive Redaction para automatizar el escaneo y la redacción de la información de las tarjetas de pago (u otros datos confidenciales e inapropiados) antes de que entren en la organización. Gracias al Reconocimiento Óptico de Caracteres (OCR), esto incluye también la información de las tarjetas de pago que se envían como imágenes escaneadas o fotografías.
En tiempo real, un Motor de Inspección Profunda de Contenido desarma por completo los mensajes entrantes y detecta y elimina únicamente la información que incumple las directrices de PCI DSS; el resto del mensaje sigue adelante sin problemas. Esto garantiza una colaboración y comunicación continuas, eliminando el riesgo de compartir información de forma inapropiada.
Protección del correo electrónico conforme a PCI desde el primer día
Configurar reglas para las políticas de PCI en Secure Email Gateway es fácil gracias a los tokens PCI y PII predefinidos, diseñados para simplificar la definición e implementación de las políticas. Secure Email Gateway también usa Calificadores de Expresión Lógica para validar la información confidencial. Esto minimiza el número de falsos positivos, ya que identifica cuándo un número puede parecer información de pago, pero no lo es.
Podemos ayudarlo a mejorar la Seguridad de sus Datos y cumplir normativas
GoAnywhere y Clearswift son parte de la suite de soluciones de Seguridad de Fortra, una de las más completas de mercado. Conozca todos nuestros productos de Seguridad de Datos y cómo pueden ayudar a su organización.