¿Cuándo se requiere una Auditoría PCI?

A menos que haya estado escondido dentro de una cueva o varado en una isla remota en algún lugar en medio del océano durante la última década, es probable que sepa que la prevalencia de los ataques de ciberseguridad ha aumentado exponencialmente.

La última violación vio a la organización financiera HSBC como el objetivo. El ataque resultó en la exposición de información de identificación personal de un número aún no revelado de cuentas. Es probable que se anuncien cifras sólidas una vez que se comprenda completamente el alcance del ataque.

Los ataques al sector financiero se están convirtiendo tristemente en la norma. De hecho, un nuevo informe patrocinado por IBM señaló que el sector de servicios financieros es la vertical industrial más atacada en la actualidad. Esto se debe a que las brechas dentro de esta vertical de mercado son financieramente lucrativas, costando a las empresas un promedio de alrededor de $3.7 millones en 2017.

Si es una empresa que procesa datos de tarjetas de clientes, es probable que conozca los requisitos de cumplimiento diseñados para garantizar la seguridad de los datos del titular de la tarjeta. Si ha sido objeto de una infracción o no ha examinado su postura de cumplimiento de PCI en un tiempo, es posible que deba someterse a una auditoría de cumplimiento de PCI. Esto es lo que necesitas saber.

¿Qué es una auditoría de cumplimiento de PCI DSS?

Una auditoría de cumplimiento de PCI DSS evalúa la solidez de la seguridad de su sistema de punto de venta. La auditoría se centra principalmente en identificar las vulnerabilidades del sistema y describir los procedimientos de seguridad y las mejores prácticas para sus sistemas. La auditoría también proporcionará recomendaciones sobre cómo evitar que los datos se vean comprometidos.

PCI DSS fue establecida por las principales compañías de tarjetas de crédito. Se estableció un conjunto de estándares no solo para proteger los datos de los clientes, sino también para proporcionar un marco para que las organizaciones acepten o procesen datos de tarjetas a seguir.

¿Cuáles son los niveles de cumplimiento y cuáles son formas fáciles de saber en qué nivel, si es que hay alguno, encaja?

Afortunadamente, el consejo PCI DSS ha hecho que sea bastante fácil para los comerciantes averiguar en qué categoría de cumplimiento encajan. Todo se basa generalmente en el número de transacciones que procesa un comerciante.

Actualmente hay cuatro niveles de cumplimiento de PCI:

Nivel 1: Comerciantes que procesan más de 6 millones de transacciones de tarjetas por año.

Nivel 2: Comerciantes que procesan de 1 a 6 millones de transacciones al año.

Nivel 3: Comerciantes que manejan entre 20,000 y 1 millón de transacciones por año.

Nivel 4: Comerciantes que manejan menos de 20,000 transacciones por año.

Los cuatro niveles requieren que los comerciantes se sometan a un cuestionario de autoevaluación (SAQ, por sus siglas en inglés), un escaneo trimestral de la red por un proveedor de escaneo aprobado y un formulario de certificación de cumplimiento. El nivel 1 requiere todo lo anterior, además de un informe sobre el cumplimiento por parte de un evaluador de seguridad calificado (QSA).

¿Quién realiza una auditoría de cumplimiento para usted?

Deberá contratar a un asesor de seguridad (QSA) del Consejo de Normas de Seguridad de PCI calificado y aprobado para llevar a cabo su auditoría. Las QSA comienzan por evaluar la infraestructura de seguridad (procedimientos, políticas, redes y sistemas) y luego le ofrecen una evaluación de riesgos, con sugerencias sobre cómo mejorar la seguridad de sus datos.

La QSA revisará su evaluación de riesgos con usted y priorizará las áreas que deben abordarse. Este esquema es necesario para mejorar sus políticas de seguridad de datos y guiar a su personal al proporcionar capacitación sobre conciencia de seguridad.

¿Cómo puede prepararse para una auditoría?

La forma más sencilla de prepararse para una auditoría es evaluar sus políticas y prácticas de seguridad de datos existentes antes de que se lleve a cabo la auditoría. Comience por examinar la seguridad de cosas como su firewall de red y los sistemas de integridad de monitoreo de archivos para detectar cambios inusuales o críticos.

Si no está seguro de cómo o por dónde comenzar en el camino hacia el cumplimiento de PCI, haga clic aquí para obtener una guía útil.

Tenga en cuenta que el incumplimiento puede resultar en una multa de 5 5,000 a 5 500,000 para el banco adquirente, que es muy probable que pase las multas al comerciante que no cumple. Además, si ya cumple con PCI y sufre una violación de datos, podría enfrentar la suspensión de la aceptación de la tarjeta de crédito por parte de su banco, no del consejo PCI.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.