¿PCI DSS es solamente un estándar de cumplimiento?

En muchos casos surge la duda de la importancia del cumplimiento con diferentes normas. En este artículo, nos centraremos en PCI DSS, y responderemos algunas preguntas que suelen surgir:

• ¿PCI DSS solamente brinda un “Certificado”?
• ¿Al estar alineado a PCI DSS, que proyección como empresa, en el aspecto de seguridad, se puede tener?
• ¿Qué es lo que realmente significa ser PCI DSS Compliance?
• ¿Qué abanico de posibilidades se expanden a nivel ejecutivo al ser compliance con PCI DSS?

A continuación, se responderán cada una de las preguntas, teniendo en cuenta distintas experiencias de clientes involucrados con la Norma, como así también del personal especializado. Por último, responderemos una pregunta que debemos tener en cuenta todo especialista de Seguridad Informática:

¿Puedo utilizar PCI DSS como estándar para securizar mi ambiente (tenga o no tarjetas de créditos en mi negocio)?

¿PCI DSS solamente brinda un “Certificado”?

La respuesta definitivamente es NO.

Antes que nada, se debe aclarar la definición de PCI DSS.

En pocas palabras, PCI DSS es un Norma de seguridad de datos de tarjetas de pago que debe ser respetada por cualquier Entidad (SI, cualquier Entidad) que procese, transmita o almacene información de tarjetas de crédito y débito.

Hasta aquí, solamente (da la sensación) que es una necesidad normativa o legal para “poder cobrar” con tarjeta, pero esto no es realmente así. Al estar alineado con PCI DSS, también nos brinda un importante ambiente de seguridad en diferentes aspectos tales como Networking, Desarrollo, Infraestructura, entre otros.

Los 12 requisitos de la norma abarcan diferentes aspectos integrales tales como:
• Hardening de dispositivos de red (Disponibilidad – Confidencialidad – Integridad – Trazabilidad)
• Hardening de Servidores (Disponibilidad – Confidencialidad – Integridad – Trazabilidad)
• Protección de contraseñas (Autenticidad – Confidencialidad).
• Comunicaciones seguras (Autenticidad – Confidencialidad)
• Datos críticos seguros (Confidencialidad – Disponibilidad).
• Identificación de usuarios (Autenticidad – Trazabilidad)
• Monitoreo de eventos (Trazabilidad)
• Formalización de procesos (Disponibilidad – Confidencialidad – Integridad – Autenticidad – Trazabilidad)
Tal como se observa, cada uno de los aspectos termina teniendo una fuerte referencia a los pilares básicos de Seguridad de la Información. Por ese motivo, PCI DSS no solamente es una necesidad regulatoria para operar con tarjetas, sino que también garantiza un incremento (significativo) en los aspectos de Seguridad de la Entidad.

¿Al estar alineado a PCI DSS, que proyección ,como empresa en el aspecto de seguridad, se puede tener?

La respuesta a esta pregunta será dada con un ejemplo real. Hace unos años, un cliente nos contactó para alinearse con PCI DSS ya que era un requerimiento que le exigían las procesadoras de pago para poder operar con tarjetas de crédito. En un trabajo en conjunto, cada uno de los recursos alcanzados por PCI DSS (donde se accedían, transmitían, almacenaban o procesaban datos de tarjeta de crédito) fueron alineados para el cumplimiento con dicha normativa.
En los años posteriores, se vieron ante la necesidad de certificar otra norma de Seguridad (ISO 27001).

La misma fue certificada con un ESFUERZO MÍNIMO ya que al estar alineado con PCI DSS muchos (casi el 90%) de los requerimientos ya se encontraban cubiertos.

Por otro lado, el dinamismo del mercado por la presentación de nuevos productos/servicios, pudo ser acompañada SIEMPRE en un ambiente seguro garantizando la protección de los activos críticos de la Empresa.

Este punto es muy importante ya que la protección de los activos críticos garantiza OPERAR sabiendo que el riesgo de un fraude es mínimo.

Es por ello que la siguiente ecuación, relacionada al área de Seguridad Informática, es concreta: AMBIENTE INSEGURO + FRAUDE = DESESTABILIZACIÓN LABORAL.

En resumen, estar alineados con PCI DSS otorga a la empresa, desde el punto de vista de Seguridad de la Información, los siguientes aspectos:
• Certificarse en otras normas con un esfuerzo mínimo.
• Seguridad Laboral (en el área de Seguridad Informática).
• Acompañamiento al crecimiento del negocio.

» También te puede interesar: “CUMPLIMIENTO DE PCI DSS A AGENCIAS “IATA”

¿Qué es lo que realmente significa ser PCI DSS Compliance?

Esa pregunta tiene una respuesta cotidiana, y varías aristas. La respuesta cotidiana es “un proceso especifico se encuentra apto (legalmente) para operar con tarjetas”.
Pero dicha respuesta deja varias consideraciones importantes de lado. Por ese motivo, también significa:
• Mayor confianza en la seguridad de los datos de tarjeta de nuestros clientes.
• Alto grado de madurez de Seguridad de la Información.
• Minimización de riesgo a fraudes.
• Capacidad de crecimiento en el mercado.
• Profesionalización de tareas.
Cada una de estas consideraciones, impulsan a la Entidad a resguardar su imagen como así también evolucionar conjuntamente con cada decisión ejecutiva .

¿Qué abanico de posibilidades se expanden a nivel ejecutivo al ser compliance con PCI DSS?

El abanico de posibilidades para el crecimiento de un negocio es amplio. Actualmente, suele ser requerimiento necesario ser “PCI Compliance” para la presentación de propuestas en Licitaciones donde intervengan la interacción con Datos de Tarjeta.
Por otro lado, ser “PCI Compliance” otorga un valor agregado con respecto a nuevas oportunidades de negocio al enfrentarse a otros competidores que no se encuentran regulados a dicha normativa.
Es importante hacer hincapié que la seguridad debe acompañar al negocio, no el negocio a la seguridad, por ese motivo el hecho de ser “PCI Compliance” le permite a la Entidad afrontar nuevos desafíos con la confianza de que se resguardarán o administraran sus activos de forma segura.

“La seguridad debe acompañar al negocio, no el negocio a la seguridad”

¿Puedo utilizar PCI DSS como estándar para securizar mi ambiente (tenga o no tarjetas en mi negocio)?

Por cada una de las especificaciones mencionadas anteriormente, la respuesta es SI.
PCI DSS nos permitirá securizar el ambiente donde se administren, transmiten o gestionen activos críticos de la compañía (sean o no datos de tarjeta) ya que garantiza los siguientes aspectos:
• Toda Tecnología que interactúe con los activos críticos se encuentra configurado en base a las mejores prácticas de Seguridad.
• Todo Recurso Humano que gestione (o simplemente tenga acceso) activos críticos, se encuentra capacitado en aspectos de Seguridad de la Información.
• Todo Proceso que intervenga con los activos críticos, se encuentra alineado para respetar el procedimiento establecido por la Entidad.
• Toda interacción, transmisión, resguardo y/o gestión de activos críticos, se encuentra controlado por medio del monitoreo.

Para terminar, es importante aclarar que ya sea a nivel ejecutivo, técnico y/o comercial, en caso de tener alguna duda acerca de la importancia acerca de PCI DSS y sus ventajas, se contacte con nosotros y estaremos a gusto de despejarle las dudas

Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.

Un comentario sobre “¿PCI DSS es solamente un estándar de cumplimiento?

  1. Pingback: PCI Hispano entrevista a Carlos Alejandro (cofundador de TIKVA en Argentina) - PCI HispanoPCI Hispano

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *