Fuente: SearchSecurity.com

Un cambio reciente en los requisitos de cumplimiento de PCI de MasterCard Inc. significa que posiblemente los comercios que procesan entre uno y seis millones de transacciones anualmente tengan que invertir más tiempo y dinero para el cumplimiento con el estándar PCI.

Según las nuevas normas, los comercios nivel 2 deben contratar a un auditor de PCI autorizado (PCI QSA) para completar una evaluación onsite anual de la seguridad de los datos antes del 31 de diciembre de 2010. Anteriormente, a estos comercios sólo se les requería completar un cuestionario de autoevaluación para fines de cumplir con el Programa de Protección de Datos Web de MasterCard. El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) constituye la base de referencia para el Programa de Protección de Datos Web de MasterCard.

Los cambios se anunciaron en el boletín global de seguridad de MasterCard el 15 de junio y se distribuyó a los adquirentes y los procesadores de MasterCard, de acuerdo a Chris Monteiro, portavoz de Purchase, empresa con sede en Nueva York.

“El actual aumento de los requisitos de validación para el cumplimiento con PCI prevé una revisión independiente externa, lo que permite que haya coherencia en la aplicación e implementación de los requisitos de PCI DSS” escribió Monteiro en un correo electrónico.

MasterCard estima que menos de 2.000 comercios se verán directamente afectados por la revisión de la norma. La evaluación onsite debe ser realizada por un Auditor de Seguridad Calificado (QSA); el Consejo de Normas de Seguridad de PCI (PCI SSC) regula la formación y aprobación de los QSAs.

Diana Kelley, fundadora y socia de la firma consultora SecurityCurve, dice que las evaluaciones onsite no son baratas, los precios varían significativamente dependiendo del número de lugares que necesiten ser evaluados.

“A pesar de que va a costar dinero a los comercios de nivel 2 – y probablemente demasiado tiempo – yo creo que tiene sentido requerir pasar por una evaluación onsite independiente”, dijo. “La autoevaluación es bastante difícil. Es fácil pasar por alto algo importante en su propio ambiente”.

De hecho, cuando los QSA de VeriSign son llamados para la revisión en un cuestionario de autoevaluación (SAQ), se encuentran un montón de errores, dice Branden Williams, director de práctica de PCI en VeriSign Inc.

“Ellos simplemente no tienen la experiencia y no saben realmente cómo responder a algunas de las preguntas”, dijo. “Y puede hacer que las empresas gasten mucho más dinero en la reparación de lo que sea necesario.”

Algunos comercios están resistiéndose al cambio, dijo Williams, pero la consideró una jugada inteligente por parte de MasterCard. Muchos comercios de nivel 2 son en realidad grandes empresas, y muchos son nombres conocidos, dijo.

Visa Inc., sin embargo, no está planificando cambios de este tipo en sus requisitos de cumplimiento con PCI. En una declaración emitida el viernes, la empresa basada en San Francisco dijo que considera que su “enfoque de validación de cumplimiento proporciona a grandes comercios una mayor flexibilidad para elegir el método de validación que funciona mejor en su negocio, al mismo tiempo que impulsan a la industria de pagos hacia una mayor seguridad de los datos.

“A través de una combinación de incentivos, multas, capacitación y recursos, Visa ha creado un marco de cumplimiento basado en el riesgo que responde a las necesidades de mercado y alienta a la vigilancia permanente en la seguridad de los datos”, continuó Visa. “Obligando a todos los comercios de nivel 2 a hacer evaluaciones onsite puede introducirles potencialmente costes innecesarios en un entorno empresarial ya difícil, sin demostrar un incremento de su seguridad. Si bien Visa siempre alienta a los comercios a invertir en evaluaciones externas objetivas, la industria debe reconocer y apoyar a los comercios con capacidad y conocimiento interno para llevar a cabo auto-evaluaciones rigurosas”.

Chris Mark, CEO y presidente de la empresa de consultoría Aegenis Group Inc., también criticó el requisito añadido por MasterCard. Señaló en un post en su blog que todas las empresas involucradas en las cinco mayores violaciones han sido evaluadas o están en proceso de ser evaluadas por un QSA.

“Uno tiene que cuestionar el valor de exigir a los comercios evaluarse con un QSA cuando la evidencia anecdótica sugiere que el uso de un QSA no reduce el riesgo de una violación”, escribió.

Williams, de VeriSign, dijo que los comercios de nivel 2 deben realizar una evaluación básica de preparación con un QSA PCI para ver el grado de precisión con que han respondido al SAQ y si están trabajando en la versión más adecuada del SAQ para su negocio. El trabajo debe comenzar ahora para tener tiempo de remediación y para atender al plazo de cumplimiento, dijo.

Los nuevos requisitos de MasterCard en última instancia ponen más presión sobre el PCI SSC para centrarse en la garantía de calidad del QSA, dijo Williams. “Todo el mundo sabe que hay QSAs buenos y malos”, dijo.

El PCI SSC inició un programa de garantía de calidad para QSAs el pasado otoño e incluye en su lista a las empresas QSA que están en remediación por violar los requisitos de validación de QSA aplicables.