Red Seguridad 097

red seguridad segundo trimestre 2022 61 opinión ro de 2022 que infectó a más de 350 ecommerce en un único día. Los ataques de tipo Magecart se basan principalmente en la inyección de código JavaScript malicioso, aprovechando vul- nerabilidades del sitio web o del compo- nente de un tercero que se emplee, y uti- lizan métodos complejos y en constante evolución. PCI DSS v4.0 busca responder a esta amenaza creciente a través de me- canismos técnicos como CSP ( Content Security Policy ) que filtran los componen- tes que pueden ejecutarse, usan librerías internas frente a externas, auditan perió- dicamente el código, etc. Sin embargo, aunque los ataques men- cionados se basan en la explotación de vulnerabilidades y fallas de la tecnología, muchos pueden evitarse desplegando procesos que aseguren que los siste- mas están actualizados, que los últimos parches de seguridad se encuentren ins- talados, que los códigos son robustos y eluden configuraciones débiles o abier- tamente vulnerables, etc. Por eso, PCI DSS evoluciona en una segunda vía que refuerce estos aspectos en las organiza- ciones, dando mayor relevancia a la figu- ra de responsable del programa PCI y sus funciones de monitorización y reporte. Porque, sin duda, una de las claves en la protección de los entornos de pago con tarjeta es que los procesos implica- dos deben estar liderados por profesio- nales con experiencia y responsabilidad en materia de seguridad para garantizar que esta es un vector de negocio más. Además, es fundamental que los respon- sables de seguridad tengan una visión transversal del negocio, las operaciones y los entornos, puesto que en contextos cada vez más complejos y heterogé- neos, la respuesta de seguridad no pue- de ser un traje prêt-à-porter . Flexibilización Por esta necesidad de respuesta de se- guridad contextualizada, y siendo una norma de alto detalle técnico en sus requerimientos, la nueva versión de PCI DSS contempla la necesidad de flexibi- lizar la forma de proteger los datos de tarjeta teniendo en cuenta las caracte- rísticas únicas de cada entorno. En este sentido, como tercera vía de evolución, la nueva versión introduce el concepto de “aproximación personalizada”, espe- cialmente para aquellas organizaciones con servicios de seguridad muy madu- ros y altamente implicados en las medi- das de protección de los sistemas. Este nuevo enfoque del cumplimiento no pretende ser una carta blanca, sino permitir que organizaciones que cuentan con alta experiencia de seguridad pue- dan encajar en su aplicación las medidas y controles desplegados que sean equi- valentes a los requerimientos de PCI DSS. El coste que conlleva este tipo de casos es un mayor esfuerzo de documentación, validación y verificación, especialmen- te durante la auditoría, ya que el QSA (auditor certificado) revisará no solo el requisito de la norma, sino los controles desplegados, y verificará que los mismos permiten gestionar el riesgo de la misma forma que el requerimiento original. Este método ha tenido una buena aco- gida, ya que responde también a una de- manda por gran parte de la comunidad PCI al cuerpo regulador. No obstante, también ha generado cierto escepticis- mo o recelo por la posibilidad de dar pie a la degradación de su alta exigencia actual en materia de seguridad. Aumento de la seguridad Las organizaciones cuentan ahora con un marco normativo actualizado y adap- tado para que puedan aumentar la segu- ridad con las personas, procesos y siste- mas de información que intervienen en los flujos que manejan datos de tarjetas. Para lograrlo, los especialistas en se- guridad siguen adaptando sus solucio- nes para ayudar a las organizaciones a minimizar el impacto y posibilidad de incidentes de seguridad a través de la implantación de tecnología, la ejecución de procesos continuos, el cambio cultu- ral en materia de seguridad y la certifi- cación regular del alineamiento con el escenario de riesgo. En definitiva, la reciente publicación de la nueva norma PCI DSS v4.0 es una bue- na noticia que ha sido gratamente recibi- da por la industria tras su largo proceso de revisión y actualización para respon- der a la evolución constante de un nego- cio de gran demanda por la sociedad y que va a fomentar, sin duda, una mayor seguridad en los pagos con tarjeta.