Los Fundamentales de PCI DSS. Como cumplir con los estandares PCI y los beneficios del proceso.
Having issues accessing the video above? Watch the video here.
Como cumplir con los estandares PCI y los beneficios del proceso.
Contacto para iniciar su procedimiento PCI:
This webinar was hosted on October 24th, 2018.
Gracias por estar con nosotros hoy. Yo me llamo Iván Delgadillo, soy el agente y consultor mayor de la conformidad PCI-DSS en SecurityMetrics. Hoy le tenemos una presentación sobre los fundamentales del proceso PCI-DSS, cómo cumplir con los estándares PCI y los beneficios del proceso. Tú gracias por estar con nosotros hoy.
¿Cómo el proceso de conformidad a los estándares PCI protege a su agencia?
Es importante saber que el proceso de PCI generalmente es una manera en que usted puede hacer que su entorno de tarjeta de crédito esté totalmente protegido por estándares para minimizar la posibilidad que haya robo de información. Ese es el objetivo de proceso PCI.
El consejo de estándares de seguridad de la industria de tarjetas de pago fue creado por las principales marcas de tarjetas, Mastercard, Discover, American Express, todas esas tarjetas que son las más utilizadas para hacer transacciones.
El consejo PCI luego creó el estándar de seguridad de datos de la industria de tarjetas de pago para reducir el robo de tarjetas de pago y la pérdida de datos electrónicos.
Entonces, ¿qué es el PCI DSS? El PCI DSS es una lista de doce prácticas de manejo de tarjetas que los comerciantes deben seguir para aceptar tarjetas de pago. Esta norma detalla cómo manejar, procesar y almacenar de forma segura los datos confidenciales de la tarjeta de pago. ¿Quién debe cumplir con el PCI de SS?
Se requiere que todos los comerciantes que aceptan Visa, Mastercard, Discover, AMEX, cumplan con ese proceso del PCI dss. Entonces, doce políticas, doce secciones a las cuales deben de adherir los comerciantes que aceptan tarjetas de crédito o débito, y eso es requerido por la industria privada general para todas las agencias, todos los negocios que acepten y procesen información de ese tipo.
¿Por qué debe de importarme completar este procedimiento del PCI y estar en conformidad a las zonas PCI? Eso es una buena pregunta.
Entonces, la seguridad de los datos es una de las cosas más importantes referente a cómo un negocio hace así su negocio, porque si un cliente sabe que un negocio o un una entidad no está manejando bien la información, pues eso va a causar problemas de negocio, ¿sí? Entonces los comerciantes que cumplen con PCIDSS tienen más posibilidades de resistir los ataques.
La seguridad de los datos es más importante ahora que nunca, ya que los piratas informáticos se vuelven más frecuentes. En dos mil dieciséis, el número de infracciones de datos rastreados en los Estados Unidos, por ejemplo, aumentó un cuarenta por ciento según un estudio realizado por el centro de recursos de robo de identidad.
Treinta y seis millones de registros privados se expusieron solo en dos mil dieciséis como resultado de violaciones de datos, intrusiones al entorno de tarjeta de crédito.
Convertirse en compatible con el PCI o estar en cumplimiento o en conformidad PCI es un gran paso para prevenir este tipo de ataques. El FBI, por ejemplo, informa que los ataques cibernéticos de ingeniería social han costado a las empresas, incluyendo Snapchat y Seagate, más de tres millones dólares solamente en dos mil dieciséis.
En una alerta de seguridad de dos mil once, por ejemplo, Visa dijo, el acceso remoto inseguro sigue siendo el método de ataque más frecuente utilizado por los intrusos para acceder al entorno del punto de venta de un comerciante. No ha cambiado mucho en los últimos años con el acceso remoto inseguro al veintinueve por ciento de las infracciones investigadas en dos mil dos mil quince.
El cumplimiento es obligatorio para todas las principales marcas de tarjetas, y el cumplimiento y incumplimiento de las PCI DSS puede dar lugar a la revocación de la capacidad de procesamiento de la tarjeta de comerciante.
Su procesador comercial puede requerir informes sobre su estado de cumplimiento para su validación PCI actual, y su procesador comercial le puede cobrar tarifas por incumplimiento.
En el caso de una intrusión de datos, una violación de datos, el comerciante está sujeto a multas, a penalidades y de costos asociados como resultado de la infracción si el comerciante no cumple con PCIDSS.
Esas tarifas con frecuencia suman más de cien mil dólares. Eso es generalmente lo que pasa de cero a cien mil dólares después de una intrusión de información o robo de datos.
¿Cómo puedo establecer mi conformidad de las zonas PCI? A medida que cambian las situaciones de procesamiento de tarjetas y tecnología, SecurityMetrics proporciona una solución PCI totalmente compatible diseñada para ayudarle a alcanzar y mantener el cumplimiento del PCI.
Aquí está un caso básico o general en cómo un negocio puede tener obtener ese certificado validación del cumplimiento PCI.
Hay cuatro pasos para llegar al cumplimiento PCI generalmente. El primero es identificar su entorno de tarjetas de crédito, el segundo es completar un cuestionario de autoevaluación, El tercero es pasar el escaneo externo de la red comercial.
Y el cuarto, por supuesto, es reportar su certificado de conformidad.
Número uno, como le digo, es identificar su entorno de tarjetas de crédito. La forma en que un negocio procesa las tarjetas de pago determina sus requisitos de PCI. SecurityMetrics le permite descubrir sus requisitos PCI en línea o hablando con un agente por teléfono.
Para descubrir su propio alcance PCI y lo que debe incluirse para su cubierto PCI, debe identificar todo lo que procesa, almacene o transmite datos del titular de la tarjeta, iniciar una conexión con cualquiera de los sistemas que manejan datos, el titular de la tarjeta y evaluar qué personas y los sistemas y los sistemas que están en comunicación con otros sistemas dentro de su entorno, dentro de su red. Siempre hay procesos de los que quizás no se dé cuenta. Por ejemplo, si usted es una tienda así que vende directamente un producto, que tira tarjetas, que acepta las tarjetas, ¿alguna vez ha tomado esa información por teléfono o recibe correos electrónicos con información de la tarjeta? ¿Se reciben pedidos en papel? ¿Hubo un corte de energía en el que los datos de la tarjeta se anotaron manualmente?
¿Identificar sistemas que tocan datos confidenciales, luego preguntarse esas cinco preguntas adicionales son importantes. ¿Cómo administramos nuestros sistemas? ¿Cómo nos conectamos? ¿Cuál es el tipo de? Nuestra red hacemos por teléfono, hacemos por una red comercial, ¿cómo es que nos conectamos nosotros con el mundo de afuera para transmitir la información, cómo hacemos una copia de seguridad de nuestros sistemas, cómo nos conectamos para obtener informes, cómo reestablecemos las contraseñas.
Esas son cosas básicas para poder saber cómo tiene que usted seguir el proceso del PCI, nosotros estamos aquí para ayudarles para eso.
Básicamente, como dice aquí, si el componente almacena, procesa o transmite datos de titular de tarjeta o está conectado a sistemas que lo hacen, se considera en alcance y debe de estar protegido.
Entonces, por ejemplo, aquí vemos en el entorno de tarjetas hay dispositivos de trabajo en red, servidores, interruptores, routers, computadoras, aplicaciones, cosas así que nosotros tenemos que considerar como dentro de su entorno para poder cubrir esos sistemas contra vulnerabilidades.
Si no conoce las respuestas a todas esas preguntas de alcance, está bien. SecurityMetrics tiene una herramienta llamada SecurityMetrics CoppingWisard, que puede ayudarle a identificar su alcance.
Aquí ve, por ejemplo, la página que usted podría ver, entrando usted mismo a nuestra página web para saber cuáles son los requisitos. Por ejemplo, el terminal, la terminal, la computadora, comercio electrónico, dispositivo móvil. Nosotros aquí tenemos todos los dispositivos principales en que los negocios usualmente aceptan y procesan información. La etapa dos es completar el cuestionario de autoevaluación.
Todos los comerciantes deben completar un cuestionario de autoevaluación.
En inglés es el SAQ, así lo va a ver a veces, para el complemento de PCI. Su cuestionario específico se determina en función de cómo maneja los datos de la tarjeta de pago.
Aquí ven los, este, los principales cuestionarios que nosotros asignamos para cualquier negocio.
Como le digo, hay etapas diferentes, hay niveles diferentes de cumplimiento PCI, y aquí están uno de los ejemplos. El SQA, el cuestionario A, por ejemplo, es en donde el comerciante externaliza toda la recolección y procesamiento de tarjetas, el cuestionario B. Es más para los clientes que manejan información sobre una línea telefónica. Por ejemplo, si yo acepto tarjetas en persona y solamente tengo una terminal que use mi conexión telefónica, yo tendría que llenar ese documento, cuestionario c, para comerciantes que procesan y transmiten datos de tarjetas, pero no guardan electrónicamente esa información, específicamente para clientes que procesan por alguna red comercial.
Entonces, si yo tengo una computadora, uso esa computadora para hacer mis transacciones, mi red tiene que estar cubierta con las protecciones del PCI para poder verificar que yo manejo bien esa información, ¿ok? Y etcétera. Aquí ve los otros niveles y ahí puede ver, por ejemplo, que el cuestionario D es cuando alguien almacena los datos de la tarjeta electrónicamente en la red, de procesamiento de tarjetas. Quiere decir que, si alguien guarda la información electrónicamente, hay más cosas que tienen que implementarse para estar en cumplimiento PCI.
Entonces, aquí ve una página, por ejemplo, de una de las primeras secciones del cuestionario. Este cuestionario específico es el cuestionario c.
Ahí ve las preguntas, este, empezando, como está restringido el tránsito entrante y saliente, y ahí puede ver cómo va a estar a nuestro sistema así el acceso al cuestionario. Tenemos videos para que se le haga más fácil a comprender el objetivo de cada sección, y también están disponibles nuestros agentes para ayudarle en acabar ese documento.
En la etapa número tres es pasar al escaneo de su red comercial.
Ahora, como le dije, hay diferentes niveles de cuestionario, pero esta etapa número tres para el escaneo es para los comerciantes que aceptan y procesan tarjetas en algún dispositivo que use una conexión a Internet. Entonces, por ejemplo, si yo tuviera mi computadora, como dijimos antes, para procesar mis tarjetas, mi red sería parte del entorno considerado como bajo de los requerimientos del PCI, entonces tendría que estar cubierto por esas protecciones.
Los comerciantes que procesan almacenan o transmiten datos de editorial de tarjeta en línea, deben tener escaneos de esta vulnerabilidad, en inglés se dice external vulnerability scans, de red externa realizados por un proveedor de escaneo aprobado en su red o su dominio.
Típicamente, los escaneos de vulnerabilidad generan una extensa lista o informe de vulnerabilidades encontradas y referencias para futuras investigaciones sobre la vulnerabilidad.
Algunos incluso ofrecen instrucciones sobre cómo solucionar el problema.
Perdón, a pesar de lo que muchas empresas creen, escanear no es suficiente.
No puedes simplemente escanear y luego no hacer algo para arreglar los problemas explicados en el informe o en el resultado. Actúe rápidamente ante cualquier vulnerabilidad descubierta para garantizar que los problemas de seguridad estén arreglados, y luego vuelva a analizar, hacer el escaneo, para validar que las vulnerabilidades sean solucionado con éxito.
Aquí en esta página ve, por ejemplo, cómo se ve un resultado del escaneo. SecurityMetrics, este realmente le ayuda a organizar fácilmente y manejar esos escaneos, también a filtrarlos y enviárselos a las personas correctas, y eficientemente manejar los false positives, que son como cosas que usted tiene que someter a nuestro sistema, enviar a nuestro sistema para saber que no es parte del entorno que nosotros debemos de considerar como una vulnerabilidad.
Pero aquí en la página ve que es fácil ver sus resultados, es fácil enviar esos resultados, es fácil empezar los escaneos y nosotros tratamos de hacer que este sistema sea muy eficiente para que los clientes cuando ya estén con nosotros puedan hacer los caneos cuando ellos quieran y tener a alguien ahí para ayudarles a arreglarlos.
Etapa cuatro es la última etapa de este proceso, que es reportar su certificación de conformidad.
Todos los clientes, los comerciantes, tienen que validar y reportar su su cumplimiento PCI a su procesador mercantil.
Y SecurityMetrics hace que ese proceso de reportar sea más fácil. Aquí en esta página ve el ejemplo de todos los reportes que nosotros le damos a nuestros clientes cuando ya hayan obtenido esa certificación.
Nosotros le ayudamos a reportar su cumplimiento al procesador, a enviarle información sobre cambios que tienen que ser hechos sobre su cuenta y a contactarnos nosotros para renovar el servicio. Nosotros le enviamos correos para decirle que ya es tiempo de que empiece a pensar de hacer esto para que no se le pase así la fecha.
Hay cosas adicionales, requisitos adicionales para la validación.
Lo que es importante comprender es que hacer el cuestionario y el escaneo solamente no va a hacer que su entorno esté completamente así dentro de los estándares PCI. Quiero decir que no va a estar completamente en cumplimiento PCI, así solamente. Hay cosas que tienen que hacerse para implementar esas políticas del PCI.
Algunos requisitos de validación adicionales pueden incluir, por ejemplo, aquí como dice, el escaneo de vulnerabilidad interna. Este escaneo verificará que las vulnerabilidades dentro de su red estén dentro de un sistema y que usted tenga algún sistema para arreglarlas.
Hay también pruebas del Pen testing.
Esa es una prueba de penetración, que es un examen exhaustivo y en vivo diseñado para explotar las debilidades de su sistema, para ver si podemos entrar nosotros a su sistema. Es para ver qué tan fuertes son sus protecciones.
También hay aquí la implementación de política de seguridad. Tener políticas claramente redactadas y comunicarlas continuamente a los empleados es realmente una parte crítica de tener en un entorno seguro. Si la administración impulsa una cultura de seguridad a través de las políticas de la compañía, brinda el porqué que guía las decisiones de los empleados. Si no hay un porqué, las personas pueden no implementar correctamente los controles y las prácticas, o pueden implementarlos esporádicamente y dejar brechas en la seguridad, o dejar problemas o vulnerabilidades ahí que existen dentro de su entorno.
¿Con qué frecuencia debo de validar las normas PCI? Eso es importante comprender para saber realmente lo que es el proceso PCI.
Obtener el verdadero cumplimiento de las normas PCI no es un evento único, sino un proceso continuo.
Usted como comerciante debe validar su cumplimiento de PCI anualmente, esto incluye volver a enviar el cuestionario y pasar los escaneos requeridos.
Aunque la validación es solo un requisito anual, se le exige y se espera que cumpla con los requisitos de PC diariamente. Eso incluye supervisar el entorno para identificar actividades sospechosas para evitar un robo de datos o una intrusión al entorno o a la red de su negocio.
En general, las organizaciones no están aprovechando muchos de los requisitos del PCI de una manera que en realidad aumente la seguridad para su entorno de datos de tarjeta.
La supervisión de integridad de archivos, por ejemplo, y la supervisión de registros solo ayudan a las organizaciones a tomarse el tiempo de ajustar esos sistemas para reducir el ruido cotidiano y configurar procesos para responder a letras genuinas. Entonces, es importante que para estar realmente en PCI tome ventaja de todo lo que nosotros podemos ofrecerle.
Documente las políticas y procedimientos y tenga un proceso de control de cambios específico y exhaustivo.
Siempre siga el proceso de aprobación documentado antes de la implementación.
Entonces, ¿cómo ayuda SecurityMetrics? ¿Cómo le podemos ayudar a que esto se le haga más fácil para ayudar a implementar esto?
SecurityMetrics es un proveedor líder de soluciones de seguridad de datos comerciales y lo ayudará a comprender cómo cumplir con el PCI.
SecurityMetrics proporciona el cuestionario escaneos de vulnerabilidad externos, los escaneos internos también, cortafuegos administrado, el firewall que nosotros hacemos para usted, que le enviamos, entrenamientos en seguridad de datos para los empleados, y las políticas y procedimientos de seguridad. También hacemos las pruebas del penetration testing, como le digo, es el examen para ver si desde afuera nosotros podemos entrar a su sistema y hacemos descubrimiento de datos de tarjeta, servicio de calidad garantizado.
Entonces, le ayudamos a implementar esto, le ayudamos en proporcionándole estos servicios, pero también tenemos agentes aquí que le pueden ayudar a usted a seguir el procedimiento.
Entonces, SecurityMetrics puede ayudar a su agencia en el procedimiento PCI.
Nosotros le ayudamos a comprender el proceso de cumplimiento PCI, a descubrir cuáles son sus requisitos, a validar y luego a reportar la información, ese certificado de las personas correctas.
Ahora, en este momento me gustaría transferirle la presentación a uno de mis colegas aquí, uno de los representantes de apoyo, de support, para que le pueda decir cómo es ese sistema y cómo nosotros le podemos ayudar.
Gracias Iván por eso. Pues mi nombre es Michael Santamaría, soy un representante de nuestro departamento de soporte técnico y queremos que ustedes sepan que tenemos agentes aquí que hablan español y que están aquí disponible para ayudarle con cualquier preguntas que ustedes tienen. Nos puede llamar y nosotros estamos aquí para ayudarle con cualquier cosa.
Estamos aquí lunes a viernes desde las nueve de la mañana hasta las cinco y nos puede llamar con con cualquier cosa.
Ahora lo voy a pasar a Iván para seguir con con esto.
Muchas gracias. Ahora regreso a mí, a mi voz otra vez.
Aquí puede ver que el costo para el procedimiento PCI depende de qué tamaño es su entorno, de qué tamaño es su negocio y qué tanto necesita que usted nosotros hagamos para usted. Quiere decir que si tiene más direcciones IP, si tiene más que un lugar, un local en donde se hacen las transacciones, si le gustaría más información sobre cómo nosotros le podemos implementar procedimientos, por ejemplo, como le digo, las políticas, el firewall, los datos, los entrenamientos de los datos, cosas así, eso depende. Pero aquí en este aquí en esta presentación, aquí en esta parte puede ver más o menos cuánto es normalmente para los los negocios que quieren empezar el proceso.
Aquí tiene mi contacto para iniciar su procedimiento PCI. Yo me llamo Iván, como le digo, el agente y consultor mayor de la conformidad PCI DSS.
Por favor contácteme a mí con más preguntas o para iniciar su proceso PCI. Aquí yo siempre estoy disponible, ahí tienen mi información. Ha sido un placer estar con ustedes durante esta presentación. Muchas gracias.
.svg)
