Aquel viejo lema de los años sesenta de "Spain is different" que parecía teníamos olvidado resurge con fuerza a la hora de hablar del cumplimiento de PCI-DSS en España.
Llevamos 2 años convencidos de que es una normativa que acabará llegando, pero lo cierto es que hoy por hoy es una dura pugna a 4 bandas: las marcas de tarjetas, las entidades financieras, los comercios y el PCI Security Standards Council. Y entre todos, no se ponen de acuerdo para hacer que se cumpla con este estándar en nuestro país, cuando en el resto del "primer mundo" es una realidad e incluso en algunos estados norteamericanos se ha convertido en Ley.
También es verdad que en España, la red de tarjetas es particular con tres grandes players: Euro 6000, Servired y Sistema4b que, a su vez, representan tanto a las entidades financieras como a las principales marcas de tarjetas. Esta situación es diferente a la existente en cualquier otro país del mundo y, quizás, es lo que puede estar en el origen de la dificultad para la aplicación efectiva del estándar en España.
En esta situación hay un grupo importante de afectados, los comercios (los 'service providers' es algo similar) que deben encontrarse totalmente desorientados. Por una parte oye rumores (y ya se sabe, "cuando el río suena..."), pero cuando pregunta a su interlocutor, a su banco (entidad adquirente), le llegan mensajes de tranquilidad: "eso a vosotros no os afecta", "eso todavía no es obligatorio", etc., etc... en fin, todo un cruce de caminos.
Pero claro, cumplir con el estándar no es trivial: 12 grandes requerimientos que cubren todos los aspectos de la seguridad (a modo de ISO 27002 con un alcance limitado a los sistemas que tratan de titulares de tarjetas) y una gran prohibición: el almacenamiento de datos confidenciales del plástico. Todo esto, aderezado con la obligación de realizar auditorías insitu anuales y/o escaneos de vulnerabilidades trimestrales en función del número de transacciones que realices. Me imagino a algunos de vosotros teniendo un déjà vu y pensando: "¿Esto no es lo mismo que con los datos de carácter personal?". Pues sí, prácticamente lo mismo, con la diferencia de que no tenemos que cumplir porque lo diga una Ley, sino porque lo establecen las cláusulas de un contrato.
Además, está ocurriendo lo mismo: Cuando se publicó la Ley en 1992, sólo unos pocos se preocuparon por aquel artículo que hablaba de la obligación de establecer medidas de seguridad y tuvieron que pasar 7 años, hasta que en 1999 se publicó el Reglamento con dichas medidas de seguridad (y que incluía, que incluye, la obligación de pasar una auditoría) y la Agencia de Protección de Datos (por aquel entonces) se puso dura con el tema, para que todos empezáramos a tomarnos este tema en serio (supongo que por las sanciones).
Pues bien, con PCI-DSS, ocurrirá lo mismo. Todos sabemos que el tema del compliance es una cuestión de elegir bien una estrategia de cumplimiento en línea con los objetivos de la organización. En la mayor parte de los casos (por desgracia) no se ve la seguridad como un driver de negocio, sino como un reductor de costes con una probabilidad incierta y, claro está, ante esta situación, cuanto más improbable sea el coste del incumplimiento, más raro será que algún comercio se decida a abordar el cumplimiento con PCI-DSS de una forma seria.
Ahora bien, en cuanto esta situación cambie, y la probabilidad del coste del incumplimiento aumente y se parezca más a un hecho cierto, entonces será normal abordar el cumplimiento con PCI-DSS puesto que éste, siempre será inferior que el coste del incumplimiento.
Evidentemente, esto es distinto en el caso de los 'service providers' que deben cumplir con el estándar para poder seguir prestando servicios, en este caso, es obvio que el cumplimiento con PCI-DSS se convierte en una cuestión de negocio y, por tanto, explica por qué hasta ahora, la mayoría de nuestros proyectos en este ámbito están relacionados con este tipo de actores.
Para concluir, si yo fuera un comercio, ¿qué haría? Muy sencillo, preguntar a mi banco. Las entidades financieras serían las destinatarias de las penalizaciones impuestas por las marcas de tarjeta (a menos que aceptemos tarjetas tipo American Express) por lo que han de ser ellas las que marquen el tempo del cumplimiento. Evidentemente, yo me iría preparando, y actuaría como en el caso de cualquier normativa: Analizaría mi grado actual de cumplimiento y evaluaría el coste del cumplimiento para ir planificando la implantación de todas aquellas medidas o ir realizando los cambios necesarios en la operativa para que, llegado el momento, no tuviera problemas para demostrar mi cumplimiento con el estándar (como hoy va de refranes, uno más: "Hombre/mujer precavid@ vale por dos")...
Porque una cosa es evidente, más TEMPRANO que tarde vamos a tener que CUMPLIR con PCI-DSS.
Antonio Ramos, Director de Consultoría
Llevamos 2 años convencidos de que es una normativa que acabará llegando, pero lo cierto es que hoy por hoy es una dura pugna a 4 bandas: las marcas de tarjetas, las entidades financieras, los comercios y el PCI Security Standards Council. Y entre todos, no se ponen de acuerdo para hacer que se cumpla con este estándar en nuestro país, cuando en el resto del "primer mundo" es una realidad e incluso en algunos estados norteamericanos se ha convertido en Ley.
También es verdad que en España, la red de tarjetas es particular con tres grandes players: Euro 6000, Servired y Sistema4b que, a su vez, representan tanto a las entidades financieras como a las principales marcas de tarjetas. Esta situación es diferente a la existente en cualquier otro país del mundo y, quizás, es lo que puede estar en el origen de la dificultad para la aplicación efectiva del estándar en España.
En esta situación hay un grupo importante de afectados, los comercios (los 'service providers' es algo similar) que deben encontrarse totalmente desorientados. Por una parte oye rumores (y ya se sabe, "cuando el río suena..."), pero cuando pregunta a su interlocutor, a su banco (entidad adquirente), le llegan mensajes de tranquilidad: "eso a vosotros no os afecta", "eso todavía no es obligatorio", etc., etc... en fin, todo un cruce de caminos.
Pero claro, cumplir con el estándar no es trivial: 12 grandes requerimientos que cubren todos los aspectos de la seguridad (a modo de ISO 27002 con un alcance limitado a los sistemas que tratan de titulares de tarjetas) y una gran prohibición: el almacenamiento de datos confidenciales del plástico. Todo esto, aderezado con la obligación de realizar auditorías insitu anuales y/o escaneos de vulnerabilidades trimestrales en función del número de transacciones que realices. Me imagino a algunos de vosotros teniendo un déjà vu y pensando: "¿Esto no es lo mismo que con los datos de carácter personal?". Pues sí, prácticamente lo mismo, con la diferencia de que no tenemos que cumplir porque lo diga una Ley, sino porque lo establecen las cláusulas de un contrato.
Además, está ocurriendo lo mismo: Cuando se publicó la Ley en 1992, sólo unos pocos se preocuparon por aquel artículo que hablaba de la obligación de establecer medidas de seguridad y tuvieron que pasar 7 años, hasta que en 1999 se publicó el Reglamento con dichas medidas de seguridad (y que incluía, que incluye, la obligación de pasar una auditoría) y la Agencia de Protección de Datos (por aquel entonces) se puso dura con el tema, para que todos empezáramos a tomarnos este tema en serio (supongo que por las sanciones).
Pues bien, con PCI-DSS, ocurrirá lo mismo. Todos sabemos que el tema del compliance es una cuestión de elegir bien una estrategia de cumplimiento en línea con los objetivos de la organización. En la mayor parte de los casos (por desgracia) no se ve la seguridad como un driver de negocio, sino como un reductor de costes con una probabilidad incierta y, claro está, ante esta situación, cuanto más improbable sea el coste del incumplimiento, más raro será que algún comercio se decida a abordar el cumplimiento con PCI-DSS de una forma seria.
Ahora bien, en cuanto esta situación cambie, y la probabilidad del coste del incumplimiento aumente y se parezca más a un hecho cierto, entonces será normal abordar el cumplimiento con PCI-DSS puesto que éste, siempre será inferior que el coste del incumplimiento.
Evidentemente, esto es distinto en el caso de los 'service providers' que deben cumplir con el estándar para poder seguir prestando servicios, en este caso, es obvio que el cumplimiento con PCI-DSS se convierte en una cuestión de negocio y, por tanto, explica por qué hasta ahora, la mayoría de nuestros proyectos en este ámbito están relacionados con este tipo de actores.
Para concluir, si yo fuera un comercio, ¿qué haría? Muy sencillo, preguntar a mi banco. Las entidades financieras serían las destinatarias de las penalizaciones impuestas por las marcas de tarjeta (a menos que aceptemos tarjetas tipo American Express) por lo que han de ser ellas las que marquen el tempo del cumplimiento. Evidentemente, yo me iría preparando, y actuaría como en el caso de cualquier normativa: Analizaría mi grado actual de cumplimiento y evaluaría el coste del cumplimiento para ir planificando la implantación de todas aquellas medidas o ir realizando los cambios necesarios en la operativa para que, llegado el momento, no tuviera problemas para demostrar mi cumplimiento con el estándar (como hoy va de refranes, uno más: "Hombre/mujer precavid@ vale por dos")...
Porque una cosa es evidente, más TEMPRANO que tarde vamos a tener que CUMPLIR con PCI-DSS.
Antonio Ramos, Director de Consultoría
Via blog.s21sec.com
No hay comentarios:
Publicar un comentario