Cumplimiento del Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago PCI DSS y el trabajo remoto
A medida que la pandemia de COVID-19 continúa propagándose en todo el mundo, las empresas que desean mantener las operaciones comerciales y cumplir con las nuevas regulaciones exigidas por el gobierno sobre el movimiento de personas, han adoptado ampliamente modelos de trabajo remoto. Y si bien para ciertos tipos de trabajos y sectores, esto no plantea grandes problemas, otros se enfrentan con el peligro de no cumplir con las regulaciones de protección de datos y los estándares de la industria.
El Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) ha sido considerado durante mucho tiempo un obstáculo para el trabajo remoto, ya que el cumplimiento normativo es difícil de lograr en un entorno no controlado como el hogar de un empleado. PCI DSS es un conjunto de 12 requisitos de seguridad que ayudan a las empresas a proteger sus sistemas de pago contra las infracciones, fraude y robo de datos de titulares de tarjetas. Incluyen, entre otros, la necesidad de implementar fuertes medidas de control de acceso, proteger los datos del titular de la tarjeta y mantener una política de seguridad de la información.
Aunque no sea jurídicamente vinculante, PCI DSS fue adoptado globalmente como un estándar general por las instituciones financieras, especialmente los bancos, y se requiere para todas las empresas que procesan, almacenan o transmiten información sobre las tarjetas de crédito de las redes de tarjetas más grandes del mundo: American Express, Discover, JCB, MasterCard y Visa.
El incumplimiento normativo tiene un precio alto: las organizaciones se enfrentan a multas de hasta 100,000 dólares al mes y tarifas mayores de operaciones además de correr con el riesgo de que se ponga fin a su relación con su banco. Peor aún, pueden encontrarse en la temida lista MATCH (Merchant Alert to Control High-Risk) que garantizará que nunca más se les permita procesar pagos con tarjeta.
Cumplir con la PCI DSS durante la pandemia de COVID-19
El Consejo sobre normas de seguridad de la PCI ha reconocido las circunstancias extraordinarias que enfrentan las empresas de todo el mundo en este momento y ha emitido una guía para el trabajo remoto destacando al mismo tiempo la necesidad de mantener prácticas de seguridad para proteger los datos de las tarjetas de pago en este momento. Sin embargo, estas mejores prácticas para el trabajo remoto no reemplazan los requisitos de PCI DSS, sino que están destinadas a ayudar a las empresas a cumplir con el cumplimiento normativo mientras sus empleados trabajan desde casa.
De acuerdo con la guía, una de las mejores formas de garantizar el cumplimiento normativo continuo es crear y mantener una cultura de seguridad dentro de la organización. Esto se puede lograr a través de un programa de concienciación de seguridad que informe a los empleados sobre las políticas y procedimientos de seguridad de una empresa y les ayude a comprender su importancia tanto para la seguridad de los datos como para el cumplimiento normativo. Si las empresas cumplían con la PCI DSS antes de esta crisis sanitaria, ya deberían tener un programa de este tipo ya que es parte del Requisito número 12.6 de la PCI DSS.
En el caso del trabajo remoto, aumenta la necesidad de informar y educar a los empleados sobre estos temas: ellos deben ser conscientes de los riesgos que conlleva trabajar desde casa para cumplir con la PCI DSS y lo que deben hacer para garantizar la seguridad continua de los sistemas, procesos y equipos que soportan el procesamiento de datos de tarjetas de pago.
Si bien esto puede ser un desafío fuera de la oficina, los empleados deben saber que el requisito más esencial es que cualquier sistema utilizado para procesar los datos de la cuenta se mantenga de forma segura y no sea accesible para ninguna persona no autorizada. Esto significa protección contra la interferencia externa y cualquier descuido por parte de los propios empleados y bloquear el acceso físico al lugar donde se realiza su trabajo. Por lo tanto, los empleados deben mantener un espacio de oficina en el hogar donde otros miembros de su hogar no puedan entrar.
Procesos de seguridad
El espacio físico donde un empleado trabaja de forma remota y procesa los pagos con tarjeta debe ser monitorizado de manera efectiva y el acceso al mismo controlado en todo momento. Bloquear el espacio de trabajo en casa es un modo que los empleados pueden utilizar para evitar el acceso físico de cualquier sistema que procese datos de la cuenta. Sin embargo, también es esencial que se implementen procesos de autentificación de múltiples factores para asegurarse de que, si alguien obtiene acceso físico al espacio de la oficina en casa, aún no podrá acceder a los datos de la cuenta.
La transferencia de datos también se puede controlar a través de las herramientas de Prevención de Pérdida de Datos (DLP) que permiten a las empresas monitorizar las transferencias de información de tarjetas de crédito a través de políticas predefinidas y bloquear su transferencia a través de puntos de salida inseguros, como servicios de intercambio de archivos o aplicaciones de mensajería instantánea, que los empleados podrían verse tentados a utilizar mientras trabajan de forma remota.
Todos los datos impresos de la cuenta también deben almacenarse de forma segura, preferiblemente bajo llave y ser triturados o destruidos cuando ya no se necesiten.
Limitar la exposición de datos
Los empleados solo deben usar hardware aprobado por la empresa: ya sean equipos portátiles, teléfonos o dispositivos extraíbles. De esta manera, las empresas pueden mantener el control de los sistemas y la tecnología que respalda el procesamiento de pagos. Las empresas pueden garantizar que no se conecten dispositivos no autorizados a los equipos de trabajo mediante la aplicación de políticas de control de dispositivos DLP en el punto final que limitan o bloquean los puertos USB y periféricos por completo, ya sea que un dispositivo esté en línea o no.
También se recomienda que todas las computadoras de la compañía que se usan de forma remota tengan firewalls actualizados, soluciones de antivirus corporativas y parches de seguridad instalados. Estos controles de seguridad deben configurarse de tal manera que los usuarios no puedan deshabilitarlos.