A medida que COVID golpeó a las empresas de todo el mundo y las tiendas cerraron o ya no aceptaban efectivo como método de pago preferido, vimos un aumento dramático en el volumen de datos de tarjetas de pago. Avance rápido hasta hoy, y el volumen de transacciones en línea y
el uso de máquinas de punto de venta sigue aumentando. Como la mayoría de los datos se almacenan en la nube, las oportunidades de ataques cibernéticos aumentan al mismo tiempo, lo que significa que la versión anterior del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS)
ya no es suficiente.
Desde 2004, PCI DSS ha garantizado que las organizaciones que procesan o almacenan información de tarjetas de crédito puedan hacerlo de manera segura. Después de la pandemia, la guía sobre controles de seguridad necesitaba urgentemente una actualización. Aquí es cuando la nueva versión – PCI DSS v4.0 –
fue anunciado. Si bien las empresas tienen dos años para planificar su implementación, la mayoría de las empresas financieras deben tener todo listo para marzo de 2025. Sin embargo, existe el riesgo de trabajar con un plazo de entrega prolongado, ya que no crea un sentido de urgencia, y muchos
de las actualizaciones de seguridad incluidas en el nuevo estándar son prácticas que las empresas ya deberían haber implementado.
Por ejemplo, "8.3.6 – Nivel mínimo de complejidad para las contraseñas cuando se usan como factor de autenticación” o “5.4.1 – Existen mecanismos para detectar y proteger al personal contra ataques de phishing” se enumeran como “actualizaciones no urgentes para implementar en 36 meses”.
Con el alto nivel de ciberamenazas tras el conflicto ruso-ucraniano, este plazo no es lo suficientemente rápido como para elevar el nivel de ciberprotección que necesitan las instituciones financieras y las empresas minoristas, lo que representa una amenaza real para los datos y la privacidad de los clientes.
Para desglosarlo aún más, hay algunos números importantes e interesantes que ilustran tanto su alcance como sus limitaciones:
-
51 y 2025 ilustran los problemas centrales que rodean a PCI DSS V4.0: 51 es la cantidad de cambios propuestos que se clasifican como "mejores prácticas" entre ahora y 2025 cuando se aplican, ¡que es dentro de tres años!
Miremos más de cerca los 13 cambios inmediatos para todas las evaluaciones V4.0, que incluyen elementos como "Los roles y responsabilidades para realizar actividades están documentados, asignados y entendidos". Estos comprenden 10 de los 13 cambios inmediatos, lo que significa
la mayor parte de las "actualizaciones urgentes" son básicamente puntos de responsabilidad, donde las empresas aceptan que deberían estar haciendo algo.
Y ahora veamos las actualizaciones que "deben ser efectivas para marzo de 2025":
-
5.3.3: Los análisis antimalware se realizan cuando se utilizan medios electrónicos extraíbles
-
5.4.1: Se cuenta con mecanismos para detectar y proteger al personal contra ataques de phishing.
-
7.2.4: Revise todas las cuentas de usuario y los privilegios de acceso relacionados de manera adecuada.
-
8.3.6: Nivel mínimo de complejidad de las contraseñas cuando se utilizan como factor de autenticación.
-
8.4.2: Autenticación multifactor para todos los accesos al CDE (entorno de datos del titular de la tarjeta)
-
10.7.3: Las fallas de los sistemas críticos de control de seguridad se responden con prontitud
Estas son solo seis de las 51 actualizaciones "no urgentes", y me parece increíble que la detección de ataques de phishing y el uso de análisis antimalware formen parte de esa lista. Hoy, con los ataques de phishing en su punto más alto, esperaría que cualquier financiero global
institución con datos confidenciales para proteger para tener estos en su lugar como requisitos esenciales, no algo para tener en su lugar dentro de tres años.
A pesar de las amenazas de enormes multas y el riesgo de que se retiren las tarjetas de crédito como método de pago si las organizaciones no cumplen con los estándares de PCI, hasta el momento solo se han aplicado algunas sanciones. Esperar otros tres años para implementar los nuevos requisitos
contenido dentro de V4.0 parece implicar una falta de propiedad que merecen algunos de los cambios y es demasiado arriesgado.
Agradezco que no signifique que las empresas no hayan implementado ya algunas o todas las actualizaciones. Sin embargo, para aquellos que no lo hayan hecho, implementar esas actualizaciones requerirá inversión y planificación, y para estos fines, PCI DSS V4.0 debe ser más específico.
Por ejemplo, si es necesario responder a las fallas de seguridad "rápidamente", ¿eso significa 24 horas, 24 días o 24 meses? Creo que las partes interesadas estarían mucho mejor atendidas con plazos más específicos.
Si bien PCI DSS V4.0 representa una buena base para hacer avanzar el estándar, debería haberse implementado con mayor urgencia. Por supuesto, hay muchos cambios que abordar, pero una mejor estrategia sería adoptar un enfoque por etapas, es decir, priorizar los cambios.
inmediatamente, en 12 meses, 24 meses y 36 meses a partir de ahora, en lugar de decir que todos deben ser efectivos dentro de tres años.
Sin esta guía, es probable que algunas organizaciones dejen de lado estos proyectos para analizarlos dentro de dos años, cuando se acerque la fecha límite del plan de implementación. Sin embargo, en una época en la que los delitos con tarjetas de pago siguen siendo un riesgo omnipresente, hay pocas
que se gana con la demora.
- hormiga financiera
- blockchain
- conferencia blockchain fintech
- carillón fintech
- coinbase
- Coingenius
- criptoconferencia fintech
- Fintech
- aplicación fintech
- innovación fintech
- fintextra
- OpenSea
- PayPal
- Paytech
- pago
- Platón
- platón ai
- Inteligencia de datos de Platón
- PlatónDatos
- juego de platos
- maquinilla de afeitar
- revoluc
- Ripple
- tecnología financiera cuadrada
- raya
- fintech tencent
- xero
- zephyrnet
