Fuente: SearchSecurity.com

BOSTON – Un número demasiado elevado de comercios tratan de lograr el cumplimiento con el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS por sus siglas en inglés) encontrando formas de aplicar controles compensatorios con partes de la norma y terminan malgastando demasiado dinero en el proceso.

Si usted piensa que el QSA es su enemigo, ha perdido la oportunidad de mejorar la seguridad en su organización”
Anton Chuvakin,
Consultor de Seguridad,
Security Warrior Consulting

“Si usted no está de acuerdo con alguna disposición específica de PCI y cree que puede hacer mejor las cosas, eso está bien, pero usted tiene que construir un caso para un control compensatorio”, dijo Anton Chuvakin, co-autor de “PCI Compliance: Understand and Implement Effective PCI Data Security Standard Compliance.”

Chuvakin, un consultor independiente enfocado en la gestión de eventos, SIEM y el cumplimiento de PCI DSS, habló sobre las formas en que los comercios pueden abordar más eficazmente los asuntos relativos a PCI DSS y lograr el cumplimiento con PCI, durante la conferencia SOURCE Boston 2010 la semana pasada. A él se unió el co-autor del libro, Branden Williams, un ex asesor de seguridad cualificado de PCI (PCI QSA) y director de consultoría de seguridad de RSA, la división de seguridad de EMC Corp.

Cuando la mayoría de los comercios comienzan a evaluar su entorno contra el estándar PCI DSS, habrá una brecha entre el entorno actual y la aplicación de controles de PCI DSS. Si la empresa va a implementar tecnologías de seguridad para cumplir con PCI DSS, entonces debe prepararse para mantenerla, Chuvakin dijo. La mayoría de las organizaciones deben entender que PCI DSS es el piso, no el techo, dijo. Las empresas deben trabajar para exceder la línea de base y garantizar que las iniciativas de cumplimiento con PCI sean un proceso continuo.

“Si usted piensa que el QSA es su enemigo, ha perdido la oportunidad de mejorar la seguridad en su organización”, dijo Chuvakin. “Después de validar el cumplimiento no se detenga. La seguridad es su objetivo, no el cumplimiento, no es pasar una auditoría.”

Las empresas tienen que ver al QSA como un socio, no como su adversario. Trabaje con un buen QSA para obtener una evaluación objetiva, dijo Williams. Es importante escoger un QSA que entienda el negocio porque “en última instancia, usted no quiere que alguien tome una decisión que afecte a su negocio”, dijo Williams.

Otras organizaciones quedan atrapadas tratando de usar los controles compensatorios como un atajo. Casi todas las empresas ponen en práctica al menos un control de compensación durante el proceso de cumplimiento con el estándar PCI DSS, pero este enfoque debe ser adoptado con cautela, dijo.

“He visto casos en que una empresa se ha estancado alrededor de seis meses trabajando en un control de compensación”, dijo Williams. “Al final, solucionar el problema habría costado $ 3 millones, pero haciendo el control de compensación el costo fue de $ 6 millones”.

Un error común entre los comercios es pensar que los bancos adquirientes requieren que el comercio conserve los datos de tarjetas de crédito durante siete años después de haberse realizado una transacción. La mayoría de las empresas pueden eliminar los datos de la tarjeta de crédito, dijo Williams.

“Se puede regresar y eliminar los datos”, dijo. “Usted no tiene que conservar un número de tarjeta de crédito durante siete años, sólo un registro de la transacción”.

Ambos expertos instaron a los asistentes a encontrar asesores experimentados y a evitar tergiversar el entorno actual de la compañía.

“Si usted trata a su QSA como un auditor, este va a hacer preguntas cerradas y no va a tener éxito”, dijo Williams. “En última instancia, el objetivo es mejorar la seguridad en general”.