1 59 Table of Contents 61 148

Red Seguridad 097

60 red seguridad segundo trimestre 2022 opinión Demostrar que los entornos de pago donde intervienen los datos de tarjetas son seguros impulsa el negocio a través de la generación de confianza en los ac- tuales y potenciales clientes, pero, sobre todo, dejó de ser una opción hace años para las organizaciones que manejan datos de tarjetas. Los pagos con tarjeta, algo tan arrai- gado ya en la sociedad actual y de cada vez mayor uso, se encuentran ac- tualmente protegidos por PCI DSS. Esta norma internacional de seguridad aplica a todas las entidades que almacenan, procesan o transmiten datos de titulares de tarjeta o datos sensibles de autenti- cación. El contexto de globalización, el incre- mento de las compras online con la con- siguiente reducción del uso de efectivo y el auge de las tecnologías sin contacto ( contactless ), móvil y empleo de weara- bles para pagar están incrementando el número de transacciones con datos de tarjetas. De hecho, en 2021, el volumen de transacciones en tiendas en línea creció un 11 por ciento, y se espera que en 2022 aumente aún más: entre un 30 y un 50 por ciento. Con este escenario y la exigencia de cumplimiento del estándar PCI DSS, las organizaciones implicadas han de to- mar las medidas oportunas y alinearse con este marco de seguridad que no solo protege su negocio y evita riesgos reputacionales o sanciones por incum- plimientos, sino que protege al cliente en sus pagos gracias, ante todo, a la im- plementación de tecnología y procesos adecuados. Actualización Esperada con gran expectación, a fina- les de abril de este año y tras un largo proceso de revisiones, vio la luz la actua- lización de la versión 4.0 de esta norma. Esta incorpora una serie de novedades, principalmente orientadas a profundizar en la protección en cuatro vías: Reforzar mecanismos de protección ha- cia un modelo de confianza cero ( Zero Trust ) para responder a la rápida evolu- ción de las formas de ataque como, por ejemplo, en aspectos ligados a la auten- ticación, medidas antiphishing , etc. Hacer más robustos los mecanismos de control y gestión de las organiza- ciones, ya que la seguridad es un pro- ceso continuo y debe estar dirigido por el riesgo. Reducir la rigidez con la que se percibe la norma y, por tanto, la resistencia a su implantación a través de un modelo de cumplimiento más personalizado. Mejorar los procesos de auditoría y re- porte del cumplimiento. La primera vía busca el alineamiento con el aumento y evolución de los medios para pagar o su complejidad tecnológica. Cada vez, la digitalización se dirige hacia tecnologías más avanzadas en servidores y plataformas (contenedores, uso de mi- croservicios, infraestructura serverless …), y por eso la actualización de la norma también busca evolucionar ante los nue- vos vectores de amenaza emergentes. De ahí que, al igual que las anteriores versiones de PCI DSS se publicaron de urgencia para dar respuesta a amenazas y vulnerabilidades como Heartbleed, la versión 4.0 pretenda dar mayor segu- ridad ante el creciente número de ata- cantes y nivel de sofisticación de sus actuaciones. Hablamos, por ejemplo, de ciberdelincuentes como el famoso gru- po Magecart, especializado en vulnerar sistemas de pagos con tarjetas a través de clonadores JavaScript ( skimmers vi- tuales ). Unos cibercriminales que, desde hace tiempo, han atacado con éxito co- mercios web de renombradas organiza- ciones (Brithis Airways en 2018, Magento en 2019, WordPress −WooCommerce− en 2020, SCUF Gaming International en 2021, Segway en 2022), y cuya eficacia sigue siendo un tema de actualidad, pa- tente en una reciente campaña en ene- Reforzar la seguridad en los pagos con tarjeta sí tiene interés L uis A lonso A lbir Cyber Risk & Compliance Manager de SIA, an Indra company

RkJQdWJsaXNoZXIy MTI4MzQz