BOSTON – Un número demasiado elevado de comercios tratan de lograr el cumplimiento con el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS por sus siglas en inglés) encontrando formas de aplicar controles compensatorios con partes de la norma y terminan malgastando demasiado dinero en el proceso.

Si usted piensa que el QSA es su enemigo, ha perdido la oportunidad de mejorar la seguridad en su organización”
Anton Chuvakin,
Consultor de Seguridad,
Security Warrior Consulting

“Si usted no está de acuerdo con alguna disposición específica de PCI y cree que puede hacer mejor las cosas, eso está bien, pero usted tiene que construir un caso para un control compensatorio”, dijo Anton Chuvakin, co-autor de “PCI Compliance: Understand and Implement Effective PCI Data Security Standard Compliance.”

Chuvakin, un consultor independiente enfocado en la gestión de eventos, SIEM y el cumplimiento de PCI DSS, habló sobre las formas en que los comercios pueden abordar más eficazmente los asuntos relativos a PCI DSS y lograr el cumplimiento con PCI, durante la conferencia SOURCE Boston 2010 la semana pasada. A él se unió el co-autor del libro, Branden Williams, un ex asesor de seguridad cualificado de PCI (PCI QSA) y director de consultoría de seguridad de RSA, la división de seguridad de EMC Corp.

Cuando la mayoría de los comercios comienzan a evaluar su entorno contra el estándar PCI DSS, habrá una brecha entre el entorno actual y la aplicación de controles de PCI DSS. Si la empresa va a implementar tecnologías de seguridad para cumplir con PCI DSS, entonces debe prepararse para mantenerla, Chuvakin dijo. La mayoría de las organizaciones deben entender que PCI DSS es el piso, no el techo, dijo. Las empresas deben trabajar para exceder la línea de base y garantizar que las iniciativas de cumplimiento con PCI sean un proceso continuo.

“Si usted piensa que el QSA es su enemigo, ha perdido la oportunidad de mejorar la seguridad en su organización”, dijo Chuvakin. “Después de validar el cumplimiento no se detenga. La seguridad es su objetivo, no el cumplimiento, no es pasar una auditoría.”

Las empresas tienen que ver al QSA como un socio, no como su adversario. Trabaje con un buen QSA para obtener una evaluación objetiva, dijo Williams. Es importante escoger un QSA que entienda el negocio porque “en última instancia, usted no quiere que alguien tome una decisión que afecte a su negocio”, dijo Williams.

Otras organizaciones quedan atrapadas tratando de usar los controles compensatorios como un atajo. Casi todas las empresas ponen en práctica al menos un control de compensación durante el proceso de cumplimiento con el estándar PCI DSS, pero este enfoque debe ser adoptado con cautela, dijo.

“He visto casos en que una empresa se ha estancado alrededor de seis meses trabajando en un control de compensación”, dijo Williams. “Al final, solucionar el problema habría costado $ 3 millones, pero haciendo el control de compensación el costo fue de $ 6 millones”.

Un error común entre los comercios es pensar que los bancos adquirientes requieren que el comercio conserve los datos de tarjetas de crédito durante siete años después de haberse realizado una transacción. La mayoría de las empresas pueden eliminar los datos de la tarjeta de crédito, dijo Williams.

“Se puede regresar y eliminar los datos”, dijo. “Usted no tiene que conservar un número de tarjeta de crédito durante siete años, sólo un registro de la transacción”.

Ambos expertos instaron a los asistentes a encontrar asesores experimentados y a evitar tergiversar el entorno actual de la compañía.

“Si usted trata a su QSA como un auditor, este va a hacer preguntas cerradas y no va a tener éxito”, dijo Williams. “En última instancia, el objetivo es mejorar la seguridad en general”.

Este skimmer en particular se encontró el 6 de diciembre de 2009, colocado en la parte delantera de un cajero automático de Citibank, en Woodland Hills, California ¿habría usted sido capaz de detectar esto?

Este es un trabajo bastante profesional: Observe cómo la mayor parte de la electrónica encaja en la solapa debajo de la ranura de aceptación de la tarjeta. Además, note la cámara diminuta (foto abajo), diseñada para activarse y registrar los movimientos de la víctima mientras él o ella digita su PIN en el cajero automático.

Es difícil saber si se trata de un skimmer de fabricación casera, o uno comprado en los foros criminales de Internet. Algunos de los skimmers vendidos en estos foros son extremadamente sofisticados, incorporando características como la capacidad de enviar un mensaje de texto SMS al teléfono móvil de los delincuentes cuando se desliza una nueva tarjeta.

Este tipo de fraude es en realidad mucho más común de lo que usted podría pensar: una consulta rápida en Twitter sobre “cajero automático skimmer” por lo general trae un montón de informes de prensa locales acerca de estos dispositivos siendo encontrados en los cajeros automáticos.

Use precauciones básicas en los cajeros automáticos y usted tendrá poco que temer a estos skimmers: Si usted ve algo que no se ve bien – tal como un componente extraño que sobresalga o de algún color diferente adherido al cajero automático – Considere ir a otro cajero. Además, manténgase alejado de los cajeros automáticos que no se encuentren en lugares visibles para el público y bien iluminados.