Como Ayuda el DLP con el Cumplimiento de PCI DSS
El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un conjunto de requerimientos que ayuda a las organizaciones a proteger sus sistemas de pago de las infracciones, el fraude y el robo de datos de titulares de tarjetas. Desarrollado por el Consejo de Normas de Seguridad PCI, PCI DSS se aplica para cualquier negocio que procesa, almacena o transmite datos de titulares de tarjetas para las mayores redes de tarjetas del mundo: American Express, Discover, JCB, MasterCard y Visa.
Si bien PCI DSS en sí no es legalmente vinculante, los comerciantes deben cumplir con él como parte de las obligaciones contractuales que tienen con las compañías de tarjetas e instituciones financieras alrededor de todo el mundo. Los bancos, por ejemplo, requieren cumplimiento con PCI DSS antes de permitir que los comerciantes acepten pagos con tarjetas por teléfono, en persona o en línea.
Las empresas que no cumplen con la regulación enfrentan multas de hasta $100,000/mes y aumento de las tarifas de transacción y pueden terminar la relación con el banco definitivamente, con un gran riesgo de ser añadidas en la lista de Merchant Alert to Control High-Risk (MATCH), lo que significa que nunca más tendrán permiso para procesas pagos con tarjetas.
El cumplimiento de PCI DSS se compone de doce requerimientos básicos y unos 250 controles asociados. Estos incluyen medidas de seguridad básicas, como el uso y la actualización de firewalls y el cambio de las contraseñas predeterminadas y otras más complejas que involucran el desarrollo y mantenimiento de sistemas y aplicaciones seguros.
Para mostrar el cumplimiento de PCI DSS, los comerciantes tienen que completar un Cuestionario de Autoevaluación (SAQ) que tiene múltiples versiones para adaptarse a los diferentes tipos de negocios y métodos de procesamiento. Las empresas grandes deben someterse a una auditoría por parte de una organización externa calificada por el Consejo de PCI.
Las soluciones de Prevención de Pérdida de Datos (DLP) son entre las herramientas más útiles del mercado para el cumplimiento con PCI DSS. Gracias a que las políticas se aplican directamente para los datos sensibles y no para los dispositivos o para la red entera, aseguran que la información de los titulares de tarjetas sea identificada, registrada y controlada, para cumplir con los requerimientos de PCI DSS. Echemos un vistazo más de cerca sobre los requisitos con los que ayudan las herramientas de DLP.
Protección de los datos almacenados del titular de tarjeta
El tercer requerimiento de PCI DSS se refiere a la necesidad de proteger los datos almacenados de los titulares de tarjetas. Para poder hacer esto, las organizaciones tienen que saber dónde están localizados los datos en sus servidores y tener las medidas para controlar el uso de estos. Las soluciones de DLP, a través de sus funciones de descubrimiento de contenido, permiten a las empresas escanear su red entera, descubrir dónde están almacenados los datos confidenciales, cómo se utilizan y cómo se transfieren.
Soluciones como Endpoint Protector hacen esto a través de políticas predefinidas para estándares como PCI DSS, lo que significa que las empresas no tienen que perder el tiempo creando políticas desde cero: los desarrolladores de DLP han identificado cuales son los datos sensibles que se necesitan proteger y han incorporado las definiciones para ello.
Conociendo dónde están almacenados los datos y como se están utilizando, las empresas pueden empezar a crear estrategias eficientes de protección de datos, abordando los problemas identificados en lugar de adoptar un enfoque amplio para el cumplimiento. Una estrategia de focalización de vulnerabilidades no solamente protege los datos de manera más efectiva, pero también ayuda a las empresas a salvaguardar dinero asegurando que las soluciones que eligen sean necesarias.
Una vez que las soluciones DLP están en su lugar, los negocios pueden controlar las transferencias y el almacenamiento de los datos sensibles en los puntos finales de la empresa. La transferencia hacia canales no protegidos a través de internet o hacia dispositivos extraíbles no encriptados puede ser bloqueada. Las organizaciones pueden definir listas blancas para los destinos permitidos, como USB cifrados emitidos por la empresa o correos electrónicos.
Restringir el acceso a los datos de los titulares de tarjetas según la necesidad comercial
El acceso restringido a los datos sensibles, el séptimo requisito para el cumplimiento con PCI DSS, también puede ser fácilmente verificado y aplicado mediante los descubrimientos de los escaneos de contenido de DLP. Al buscar en las computadoras de los empleados, esta fuerte herramienta de escaneo puede identificar los datos sensibles en dispositivos de personas no autorizadas y prontamente borrar o cifrar los datos donde se han encontrado. De esta forma, las organizaciones pueden asegurar que cualquier incumplimiento de las políticas de autorización esté detectado y tratado rápidamente.
Rastrear y monitorizar todo el acceso a los recursos de la red y a los datos de los titulares de tarjetas
Bajo el requerimiento 10 de PCI DSS, las compañías tienen que registrar todos los eventos de seguridad y los componentes críticos del sistema. Mientras que el software de antivirus puede proveer registros de los incidentes de seguridad, las soluciones de DLP pueden generar registros de los intentos de transferencias no autorizadas y como han sido resueltas, mostrando que una empresa está protegiendo activamente sus datos de las infracciones.
Los informes y los registros también ayudan a las empresas a tomar decisiones más informadas sobre las herramientas que ellos necesitan y no necesitan implementar futuras estrategias de protección de datos.
Probar regularmente los sistemas y los procesos de seguridad
Para el requerimiento 11, las herramientas de DLP, a través de escaneos automáticos y manuales, permiten a las empresas a probar la eficaz de sus estrategias de protección de datos, verificando la seguridad de sus datos confidenciales. Al monitorear su movimiento, las organizaciones pueden ver si los empleados están aplicando capacitación en la práctica o si se están eludiendo las mejores prácticas de alguna manera.
También pueden descubrir si ciertas soluciones aplicadas son eficaces o las previas vulnerabilidades persisten. Esto puede ofrecer a las empresas un mejor entendimiento de qué políticas funcionan para ellas y cuáles no y descubrir posibles puntos ciegos en las estrategias de protección de datos.
En conclusión
El cumplimiento PCI DSS es esencial para cualquier empresa que trabaja con bancos y pagos de tarjetas. Las herramientas de DLP pueden ayudar a las organizaciones a descubrir, monitorear y controlar dónde están almacenados sus datos, como se utilizan y se transfieren, acercándolos un paso más al cumplimiento.