No cabe duda de que se está produciendo una revolución en el ámbito de la tecnología de pagos. Sin embargo, es de vital importancia que las empresas adopten las innovaciones en materia de seguridad de los pagos al mismo tiempo y al mismo ritmo. Los terminales de punto de venta y la infraestructura basada en hardware están siendo sustituidos rápidamente por soluciones de pago más rápidas, más abiertas, más móviles y más orientadas al software. Estas innovaciones aportan comodidad a los clientes y, de paso, aumentan los ingresos de las empresas.
Los nuevos participantes están creando gran parte de este software con poca o ninguna experiencia en el procesamiento de pagos tradicionales o en la seguridad de los mismos. Para las empresas convencionales de procesamiento de pagos, el software y los sistemas que están creando se basan en sistemas operativos abiertos y en la conectividad a Internet, que pueden ser nuevos para ellas. Al mismo tiempo, toda esta novedad e interconexión constantes están estresando a los equipos de seguridad. No es de extrañar que las infracciones se produzcan a un ritmo alarmante y creciente.
En los últimos meses, la gente me ha preguntado qué creo que está pasando con el cumplimiento de la normativa y hacia dónde creo que se dirigen las cosas. Creo que se están produciendo tres cambios fundamentales en la seguridad de los pagos que todas las empresas que aceptan tarjetas y los proveedores de soluciones de pago deben conocer.
Soluciones de seguridad certificadas frente al cumplimiento DIY (Hazlo tu mismo)
Lo primero que hay que tener en cuenta es que el cumplimiento se está solucionando. Si bien es cierto que lleva un tiempo ocurriendo, el ritmo se está acelerando. La Normativa de Seguridad de Datos (DSS) de la PCI (Nivel básico de Protección) se compone de unos 335 controles de seguridad que las empresas que aceptan tarjetas deben cumplir los 365 días del año. La mayoría de las empresas han intentado cumplirla siguiendo cada uno de los requisitos para asegurar su entorno de datos de titulares de tarjetas. Este cumplimiento se podría llamar DIY (do it yourself). Con el cumplimiento DIY, las empresas hacen todo lo posible para comprar y configurar soluciones de pago y para asegurar sus redes y estaciones de trabajo.
Sin embargo, podría decir, mi aplicación de pago está validada y mi pasarela de pago es un proveedor de servicios que cumple con la norma PCI. A menudo, las aplicaciones, los proveedores y los dispositivos de pago certificados no resuelven completamente la situación de seguridad de las empresas. A menudo, las empresas compran un sistema de aceptación de pagos que se promociona como seguro, sólo para darse cuenta, unos meses después, de que todavía tienen que asegurar la red y las estaciones de trabajo en las que se ejecutan estas aplicaciones, o incluso pueden tener mucho trabajo que hacer para asegurar los datos en sus propias aplicaciones personalizadas antes de que se envíen a su pasarela de pago. Esta es una situación común pero innecesaria en una época en la que el P2PE (cifrado punto a punto) certificado y la tokenización pueden no sólo asegurar el entorno de la aplicación de pago y los datos del titular de la tarjeta, sino también reducir el alcance y los controles de seguridad para el comerciante. Con el P2PE certificado y la tokenización, los requisitos de cumplimiento de una empresa pueden reducirse de 335 a unos 35 controles de seguridad, lo que es mucho más manejable para empresas de cualquier tamaño.
A menudo, los proveedores de aplicaciones de pago y plataformas de software (como los TPV) no se esfuerzan por ofrecer este tipo de tecnologías de seguridad porque los pequeños comerciantes no lo exigen. Una decisión desafortunada porque los comerciantes más pequeños son los que más lo necesitan, ya que probablemente no tienen cortafuegos ni tecnologías de seguridad y, si los tienen, probablemente no están correctamente configurados. Algún un día P2PE y la tokenización serán necesarios para las soluciones comercializadas a los comerciantes más pequeños, ya que la mayoría de ellos no son capaces de gestionar un enfoque de cumplimiento DIY. Sin embargo, cualquiera de ellos puede adquirir hoy una solución certificada.
Cuando se buscan soluciones de seguridad para pagos, la palabra clave es "soluciones". Un dispositivo o una aplicación seguros son esenciales. Sin embargo, una solución certificada significa que todos los componentes, aplicaciones, proveedores y dispositivos de la solución han sido evaluados por separado para su inclusión en la lista. También significa que todas las piezas se han juntado y luego han sido evaluadas de nuevo como una solución completa por un evaluador de soluciones especialmente cualificado. Hoy en día, a menudo se produce una infracción incluso después de que un comerciante bien intencionado haya adquirido buenos componentes seguros. Sin embargo, si estos componentes seguros no se unen y configuran correctamente, los sistemas y los datos sensibles siguen siendo vulnerables. Los controles, la configuración y el cumplimiento adecuados son la garantía que pueden ofrecer las soluciones PCI certificadas y validadas, como PCI P2PE.
El concepto de "solutionizing" está despegando en la seguridad y el cumplimiento de los pagos. La tokenización para el almacenamiento de los datos de las tarjetas es algo muy común. De hecho, pocas soluciones de pago en los últimos cinco años que no haya optado por admitir el almacenamiento de tokens en sus versiones más modernas. La adopción de P2PE validado por la PCI también es una tendencia.
Empresas de todo el mundo dependen de los proveedores de soluciones de puntos clave en su arquitectura. Esto está ocurriendo ahora en la seguridad y el cumplimiento de la normativa. Como analogía, ni siquiera UPS y FedEx construyen sus propios camiones. Esto se debe a que, aunque los camiones son muy importantes para su modelo de negocio, están en el negocio del cumplimiento y la logística. Se dedican a lo que mejor saben hacer y se asocian para el resto.
Las soluciones certificadas están cada vez más disponibles para conectarse. Estas soluciones ayudan a los profesionales de la seguridad a ser más eficientes y eficaces en su trabajo, liberándoles para que se centren en la protección de cosas como la información personal y la información comercial privada, no sólo los datos de las tarjetas de pago. Aquí utilizo mucho el término "certificado". Y es que, sin soluciones certificadas por un asesor y que figuren en la lista PCI, su empresa sólo confía en la palabra y la reputación de su proveedor de soluciones.
Las soluciones PCI SPoC y los listados de productos 3DS SDK están aquí
La cosa no acaba con la tokenización y el P2PE. El PCI Security Standards Council (SSC) ha publicado recientemente dos nuevas áreas de certificación de soluciones y productos de seguridad: Soluciones SPoC y Productos 3DS SDK. Todavía no hay proveedores en la lista, así de nuevo es. Pero puede estar seguro de que estos listados de validación empezarán a aparecer pronto. Además, conozco a muchos evaluadores de la PCI que se están certificando para auditar estas soluciones.
Del sitio web de la PCI: "Las soluciones de entrada de PIN basadas en software en COTS (SPoC) permiten transacciones EMV con contacto y sin contacto con entrada de PIN en el dispositivo de consumo del comerciante utilizando una aplicación de entrada de PIN segura en combinación con un lector de tarjetas seguro para PIN (SCRP)."
"Un SDK de 3DS es un software incorporado en una aplicación móvil del comerciante para facilitar la autenticación del titular de la tarjeta. Es un componente que se incorpora a la aplicación del solicitante de 3DS y realiza funciones relacionadas con 3DS en nombre del servidor 3DS y del servidor de control de acceso. Este listado es un recurso que los comerciantes pueden utilizar para seleccionar un producto 3DS SDK".
El SPoC es esencial para los mercados en los que se requiere el PIN EMV, como en Europa. Con estas soluciones, el comerciante puede aceptar la transacción EMV a través de un económico lector de inmersión y aceptar el PIN en el "cristal". El PIN se traduce dentro del SCRP, por lo que todo está asegurado.
¡3-2-1 sin contacto!
La cuenta atrás de la tecnología sin contacto ya está aquí. Los pagos sin contacto serán la próxima norma y solución PCI. Así es; el PCI SSC declaró recientemente: "El PCI SSC está en las primeras fases de desarrollo de un estándar de seguridad para aceptar pagos sin contacto en un teléfono o tableta comercial (COTS) de un comerciante".
En la sección anterior, se habló de la solución de PIN sobre cristal llamada SPoC. Con este nuevo anuncio, el Consejo pretende ir más allá creando un nuevo estándar y todo un nuevo grupo de soluciones para que los comercios puedan asegurar el Contactless EMV en COTS y tabletas.
Aunque es posible que muchos de ustedes todavía no tengan una tarjeta habilitada para el uso sin contacto en su cartera hoy, es probable que tendrán más de una dentro de dos años. Y, por supuesto, la tecnología sin contacto ha estado viva durante algún tiempo en los teléfonos de consumo.
La devaluación de datos frente a la profundidad defensiva se está convirtiendo rápidamente en la mejor práctica
Aunque la P2PE y la tokenización siguen siendo opcionales, ambas soluciones se están convirtiendo rápidamente en las mejores prácticas y se exigen en muchas de las solicitudes de propuestas que vemos. Los proveedores están luchando por ponerse al día en estos frentes, ya que las empresas inteligentes les obligan a crear o asociarse con soluciones certificadas por la PCI. Tanto si es un comerciante como un proveedor de servicios, no hay que quedarse atrás. Es hora de tomarse en serio la solución y la devaluación de los datos.
Si todavía confía en un enfoque 100% DIY para el cumplimiento y la seguridad, no sólo puede estar robando a su empresa tiempo y dinero, sino que también puede estar poniéndola en riesgo de vulneración.
Fuente: CSO
Comments