Demostrar que los entornos de pago donde intervienen los datos de tarjetas son seguros impulsa el negocio a través de la generación de confianza en los actuales y potenciales clientes, pero, sobre todo, dejó de ser una opción hace años para las organizaciones que manejan datos de tarjetas.
Los pagos con tarjeta, algo tan arraigado ya en la sociedad actual y de cada vez mayor uso, se encuentran actualmente protegidos por PCI DSS. Esta norma internacional de seguridad aplica a todas las entidades que almacenan, procesan o transmiten datos de titulares de tarjeta o datos sensibles de autenticación.
El contexto de globalización, el incremento de las compras online con la consiguiente reducción del uso de efectivo y el auge de las tecnologías sin contacto (contactless), móvil y empleo de wearables para pagar están incrementando el número de transacciones con datos de tarjetas. De hecho, en 2021, el volumen de transacciones en tiendas en línea creció un 11 por ciento, y se espera que en 2022 aumente aún más: entre un 30 y un 50 por ciento.
Con este escenario y la exigencia de cumplimiento del estándar PCI DSS, las organizaciones implicadas han de tomar las medidas oportunas y alinearse con este marco de seguridad que no solo protege su negocio y evita riesgos reputacionales o sanciones por incumplimientos, sino que protege al cliente en sus pagos gracias, ante todo, a la implementación de tecnología y procesos adecuados.
Actualización
Esperada con gran expectación, a finales de abril de este año y tras un largo proceso de revisiones, vio la luz la actualización de la versión 4.0 de esta norma. Esta incorpora una serie de novedades, principalmente orientadas a profundizar en la protección en cuatro vías:
- Reforzar mecanismos de protección hacia un modelo de confianza cero (Zero Trust) para responder a la rápida evolución de las formas de ataque como, por ejemplo, en aspectos ligados a la autenticación, medidas antiphishing, etc.
- Hacer más robustos los mecanismos de control y gestión de las organizaciones, ya que la seguridad es un proceso continuo y debe estar dirigido por el riesgo.
- Reducir la rigidez con la que se percibe la norma y, por tanto, la resistencia a su implantación a través de un modelo de cumplimiento más personalizado.
- Mejorar los procesos de auditoría y reporte del cumplimiento.
La primera vía busca el alineamiento con el aumento y evolución de los medios para pagar o su complejidad tecnológica. Cada vez, la digitalización se dirige hacia tecnologías más avanzadas en servidores y plataformas (contenedores, uso de microservicios, infraestructura serverless…), y por eso la actualización de la norma también busca evolucionar ante los nuevos vectores de amenaza emergentes.
De ahí que, al igual que las anteriores versiones de PCI DSS se publicaron de urgencia para dar respuesta a amenazas y vulnerabilidades como Heartbleed, la versión 4.0 pretenda dar mayor seguridad ante el creciente número de atacantes y nivel de sofisticación de sus actuaciones. Hablamos, por ejemplo, de ciberdelincuentes como el famoso grupo Magecart, especializado en vulnerar sistemas de pagos con tarjetas a través de clonadores JavaScript (skimmers vituales). Unos cibercriminales que, desde hace tiempo, han atacado con éxito comercios web de renombradas organizaciones (Brithis Airways en 2018, Magento en 2019, WordPress −WooCommerce− en 2020, SCUF Gaming International en 2021, Segway en 2022), y cuya eficacia sigue siendo un tema de actualidad, patente en una reciente campaña en enero de 2022 que infectó a más de 350 ecommerce en un único día.
Los ataques de tipo Magecart se basan principalmente en la inyección de código JavaScript malicioso, aprovechando vulnerabilidades del sitio web o del componente de un tercero que se emplee, y utilizan métodos complejos y en constante evolución. PCI DSS v4.0 busca responder a esta amenaza creciente a través de mecanismos técnicos como CSP (Content Security Policy) que filtran los componentes que pueden ejecutarse, usan librerías internas frente a externas, auditan periódicamente el código, etc.
Sin embargo, aunque los ataques mencionados se basan en la explotación de vulnerabilidades y fallas de la tecnología, muchos pueden evitarse desplegando procesos que aseguren que los sistemas están actualizados, que los últimos parches de seguridad se encuentren instalados, que los códigos son robustos y eluden configuraciones débiles o abiertamente vulnerables, etc. Por eso, PCI DSS evoluciona en una segunda vía que refuerce estos aspectos en las organizaciones, dando mayor relevancia a la figura de responsable del programa PCI y sus funciones de monitorización y reporte.
Porque, sin duda, una de las claves en la protección de los entornos de pago con tarjeta es que los procesos implicados deben estar liderados por profesionales con experiencia y responsabilidad en materia de seguridad para garantizar que esta es un vector de negocio más. Además, es fundamental que los responsables de seguridad tengan una visión transversal del negocio, las operaciones y los entornos, puesto que en contextos cada vez más complejos y heterogéneos, la respuesta de seguridad no puede ser un traje prêt-à-porter.
Flexibilización
Por esta necesidad de respuesta de seguridad contextualizada, y siendo una norma de alto detalle técnico en sus requerimientos, la nueva versión de PCI DSS contempla la necesidad de flexibilizar la forma de proteger los datos de tarjeta teniendo en cuenta las características únicas de cada entorno. En este sentido, como tercera vía de evolución, la nueva versión introduce el concepto de «aproximación personalizada», especialmente para aquellas organizaciones con servicios de seguridad muy maduros y altamente implicados en las medidas de protección de los sistemas.
Este nuevo enfoque del cumplimiento no pretende ser una carta blanca, sino permitir que organizaciones que cuentan con alta experiencia de seguridad puedan encajar en su aplicación las medidas y controles desplegados que sean equivalentes a los requerimientos de PCI DSS. El coste que conlleva este tipo de casos es un mayor esfuerzo de documentación, validación y verificación, especialmente durante la auditoría, ya que el QSA (auditor certificado) revisará no solo el requisito de la norma, sino los controles desplegados, y verificará que los mismos permiten gestionar el riesgo de la misma forma que el requerimiento original.
Este método ha tenido una buena acogida, ya que responde también a una demanda por gran parte de la comunidad PCI al cuerpo regulador. No obstante, también ha generado cierto escepticismo o recelo por la posibilidad de dar pie a la degradación de su alta exigencia actual en materia de seguridad.
Aumento de la seguridad
Las organizaciones cuentan ahora con un marco normativo actualizado y adaptado para que puedan aumentar la seguridad con las personas, procesos y sistemas de información que intervienen en los flujos que manejan datos de tarjetas.
Para lograrlo, los especialistas en seguridad siguen adaptando sus soluciones para ayudar a las organizaciones a minimizar el impacto y posibilidad de incidentes de seguridad a través de la implantación de tecnología, la ejecución de procesos continuos, el cambio cultural en materia de seguridad y la certificación regular del alineamiento con el escenario de riesgo.
En definitiva, la reciente publicación de la nueva norma PCI DSS v4.0 es una buena noticia que ha sido gratamente recibida por la industria tras su largo proceso de revisión y actualización para responder a la evolución constante de un negocio de gran demanda por la sociedad y que va a fomentar, sin duda, una mayor seguridad en los pagos con tarjeta.