¿Qué es PCI compliance? (Payment Card Industry Compliance)

¿Por qué los bancos deben cumplir con los criterios PCI ?

Cuando trabajamos con datos de nuestros clientes debemos clasificarlos según su importancia y eso influye en el tipo de hospedaje (hosting) a elegir ya que si son muy confidenciales como datos clínicos o orientaciones sexuales o políticas las leyes de protección de datos nos exigen almacenarlos con hospedajes no compartidos por otros usuarios para mayor seguridad en VPS o dedicados y con copias frecuentes de seguridad.

Cuando trabajamos con datos aún más importantes como pueden ser las tarjetas bancarias las exigencias son aún más fuertes y es indispensable que nuestro proyecto sea “PCI-compliance”. ¿Pero que significa eso? ¿Que implicaciones tiene para el proyecto?

“Payment Card Industry Compliance“, es decir “Cumplimiento de la industria de tarjetas de pago“, un cumplimiento que en caso de cumplirlo demuestra que nuestro proyecto es muy seguro. La mayoría de las tiendas online no lo cumplen debido a que para hacerlo se tienen que cumplir criterios estrictos no solo a nivel de software sino en la filosofía de la empresa y por eso los bancos inventaron los TPVs que llevan a la página del banco y no permiten el pago directo en nuestra web.

Webs como Renfe o Edreams que si permiten el pago en sus webs sin pasar por la pasarela del banco solo pueden lograr que las entidades acepten el funcionamiento si antes han cumplido con la normativa PCI y han pasado duros procesos que han permitido al banco aceptar su web: Algo que solo unos pocos consiguen.

Pero ¿Es tan duro cumplir con esa norma? Para entenderlo mejor vamos a ver los requerimientos que se exigen a los clientes y así entenderemos mejor como empresa la importancia que tiene conseguir el sello de “PCI compliance”.

Lo primero, pasa por construir una red segura.  Todo está alojado en servidores de Internet y para cumplir la normativa se debe actualizar a menudo el servidor para evitar vulnerabilidades del sistema operativo y de sus procesos instalados en él.  Además se requiere de instalar un cortafuegos de calidad que además mantenga una configuración adaptada a la protección de los datos y jamás deberá usar passwords o parámetros de seguridad por defecto: No bastará con instalar una distribución de linux y punto.

Lo segundo, pasa por proteger de forma adecuada los datos almacenados. Se deben almacenar los datos utilizados de forma encriptada, cifrados con sistemas de clave de alta calidad y que impidan el acceso a terceros por fuerza bruta y estar al tanto de las vulnerabilidades de las claves: Antes bastaba con 128bits de clave y ahora los bancos ya exigen ya 256 bits y recomiendan incluso usar 2048bits de seguridad de clave. Recientemente los bancos exigieron que la información circulará con más seguridad y que hubiera que cambiar los módulos antes del 23 de Noviembre de 2015 en toda la red REDSYS.

Lo tercero, es gestionar las vulnerabilidades de forma eficaz. Si bien siempre existen vulnerabilidades en los sistemas instalados, actualizar a menudo las versiones y realizar labores de mantenimiento a menudo es esencial para cumplir con la norma PCI. Se requiere instalar sistemas de detección de backdoors en los servidores, antivirus y servicios de detección de malware.

Lo cuarto y más difícil, se trata de implementar las medidas de acceso seguras al ser humano. El equipo que trabaja con nosotros es el más vulnerable a engaños (ingeniería social) y por ello cualquier acceso al sistema debe ser guardado en los logs, restringir el acceso a lo que necesiten exactamente y utilizar las mayores tecnologías de seguridad (huellas, móvil, etc) serán esenciales para una mayor seguridad. Se debe definir tipos de usuarios con privilegios diferentes y separar al 100% los departamentos para protegerse de ataques humanos.

Quinto, monitorizar la red de forma constante. No basta con lanzar un producto y comprobar que cumple con los requisitos sino que se deben pasar hacking éticos constantes para comprobar que al mejorar o cambiar el producto no hemos añadido nuevos problemas de seguridad y asegurarse que tenemos el software más seguro posible. En este punto se debe registrar también todos los accesos a los recursos de red y a la información (tarjetas por ej.) y en muchas entidades hay una persona que solo se encarga de estos puntos.

Para finalizar se debe mantener una política de seguridad global en el personal de la empresa para que siempre cumpla con las normas y sepa la importancia de cumplimiento de todas las medidas así como todas las responsabilidades a las que se enfrentan en caso de no cumplir con ellas: Se debe formar a los trabajadores para que no ofrezcan las claves en ningún momento ni se fíen de nadie si les remiten un correo electrónico o les llaman (suplantando a alguien), siempre será mejor ir en persona a hablar con la persona responsable.

Todos estos puntos hacen que el coste de cumplir la norma PCI requiera de un soporte aún más exigente y de calidad y de confianza, difícil de encontrar salvo a través de los servicios de auténticos profesionales como con la atención prestada desde Agencia La Nave a sus clientes; respondiendo a cualquier tipo de proyecto mayor de red personalizada y segura.