0

Alerta de fraude, es inminente blindarse

 Todos los establecimientos, desde comercios, pymes, agencias de viajes, deben estar al tanto de que la única manera de protegerse reducir el riesgo contra el fraude,es mitigandosu postura en relación a la seguridad cibernética a través de la certificación de PCI-DSS.

La seguridad de lainformációnes responsabilidad de todos en la cadena de manejo de pagos con tarjetas, es una responsabilidad compartida tanto de los comerciantes y proveedores de servicios, como a las instituciones financieras hastalegisladores, deben velar por la protección de la misma para sus clientes. El auge del comercio electrónico abrió una ventana de deberes y exigencias por parte de quienes compran y venden en la industria, comenta Héctor Guillermo Martínez, Presidente de GM Security Technologies.

El estándar de seguridad de datos de la industria de tarjetas de pago, PCI-DSS 3.2, es un conjunto de requerimientos que rigen la forma en que las organizaciones administran la información de las tarjetasen el proceso de pago, así como otros datos e información del tarjetahabiente.“Es importante destacarque el  cumplir con los requerimientos de PCI-DSS no sólo se trata de pasar una auditoría anualmente; sino que ha pasado aser una verdadera urgencia en materia de protección de losdatos e información de clientes, e incluso para evitar incurrir en multas, que podrían en algunos casos, convertirse en el cese de sus operaciones”.

”Los comercios, instituciones financieras y proveedores de servicios se someten anualmente a un costo relacionado con el  incumplimiento de la normativa equivalente a 2.71 veces el costo de implementar controles internos y/o cumplir con los requisitos de PCI DSS 3.2, sin contar con el resto de los costos asociados con la interrupción del negocio, pérdidas de productividad, multas y penalidades, sanciones y gastos de liquidación, entre otros.“Las organizaciones que no cuenten con un ecosistema de seguridad adecuado y robusto, que les permita salvaguardar efectivamente los datos de sus clientes,enfrentan el riesgo de perder su capacidad competitiva en un mercado cada vez más ágil y sofisticado.”.

Un proceso con lineamientos específicos
Es deber de toda organización defender los derechos del tarjetahabiente, y para esto es fundamental proteger los datos del titular, mediante la implementación de un sistema de seguridad y practicas reconocidad en la industria que parte desde la retención y eliminación de información,el uso e implementación depolíticas establecidas;además del cifrado de datos sensitivos y de la transmisión dedatos mediante claves encriptadas, aún cuando se empleen sistemas que utilizan SSL / TLS y la inclusión de adiestramientos y concientización a los colaboradores que manejen estos datos

Asimismo, estar en guardia ante amenazas externas, mediante firewall en cada conexión y en cada dispositivo; la cual debe revisarse al menos cada 6 meses, manejando la posibilidad de bloquear conexiones que no sean de confianza, así como identificara un administrador de sistema y el limitar las funciones de un servidor para la que sean absolutamente necesarias para realizar sus objetivos.Todos loscomponentes en el ecosistema deben deprotegersecontra viruses y malwares, actualizandolas medidas regularmente ysólo por administradores.

Las empresas deben protegerse también contra amenazas internas, restringiendo el acceso a los datos de los titulares de las tarjetas, mediantepolíticas de acceso sólo para los empleados responsables del área y hasta el nivel que necesitan para realizar las funciones para las cuales fueron contratados, solicitando aprobación documentada por susautorizadores.Además se deben monitoreartodas las cuentas de usuarios establecidas, incluyendo a proveedoresy terceros, particularmente las de administradores. También las cuentas deben serdesactivadas luego de varios intentos de acceso fallidoso inmediatamente después de que se culmine la necesidad de haberlas otorgado.

Debe monitorearse y rastrear todo acceso a la red, recursos y datos delos titulares de las tarjetas, mediante la implementación de sistemas de log, monitoreo y auditoría para todos los dispositivos y componentes en el ecosistema, estableciendo alertas que faciliten la investigación y resolución de actividades sospechosas.

Disponiendo de un plan de respuesta ante incidentes ysituaciones que permita y agilice la investigación de eventos así como de todas las acciones de administrador, intentos de inicio de sesión, cambios en cuenta y pausas en la pista de auditoría; además de asegurarse de que  la información relacionada conestos logs de auditoría pueda estar disponible durante al menos un año con los últimos tres meses disponible de forma rápida para suinvestigación y análisis.

Asimismo, es vital ejecutar pruebas de penetración internas y externas, corrigiendo y volviendo a probar cualquier riesgo explotable encontrado, implementando herramientas de detección de cambios que alerten al personal sobre cualquiermodificación no autorizada de archivos y componentes en los sistemas críticos y comparandosus archivosal menos semanalmente.

Mantener el estricto cumplimientocon todos los elementos de protección determinados por la Payment Card Industry Data Security Standard, PCI DSS 3.2, así como las actualizaciones y parches de seguridad, identificación de intrusiones, gestión de accesos, desarrollo de software seguro, concientización de los empleados; y el desarrollo de una completa estrategia de protección, es una obligación que de no cumplirse podría significar grandes pérdidas e importantes penalidades, que muy bien podrían disponerse efectivamente con la contratación de un Asesor de Seguridad Calificado por laPCI DSS (PCI-QSA), concluyeMartínez.

Acerca de GM Security Technologies
GM Security Technologies crea soluciones innovadoras que ayudan a acelerar el avance de los negocios en las áreas de servicios de hosting gestionado, multi-tenencia, continuidad del negocio, seguridad integrada- física y tecnológica, ciber-seguridad, así como automatización y orquestación de procesos, con el objetivo de ofrecer eficiencia de costos a clientes y socios de negocios. Nuestros principios de simplicidad, innovación y éxito del cliente nos han convertido en el proveedor líder y de más rápido crecimiento en seguridad y tecnología del norte de América Latina.
Para conocer más acerca de GM Security Technologies, visite nuestra página web www.gmsectec.com

Ordenado por: Seguridad Tags: , ,

Comparta esta publicación

Artículos relacionados

Escriba su comentario

Ud. tiene que estar conectado para publicar comentarios.

Red de publicaciones IDG en Latinoamérica: Computerworld Ecuador - Computerworld Colombia - CIO Perú // Contáctenos
© 2018 Notas de Prensa TI - All rights reserved ---- WordPress - Tema adaptado por GiorgioB