CIBERSEGURIDAD

Información práctica de cumplimiento en la versión 3

0 75 3 minutos de lectura


Han pasado alrededor de seis meses desde que se publicaron las pautas iniciales para la tercera versión del estándar de seguridad de datos PCI.
Lo que me llamó la atención fue la introducción de factores de prueba de penetración y el requisito 12 para «garantizar que la política y los procedimientos de seguridad definan claramente las responsabilidades de seguridad de la información para todo el personal». Posteriormente apareció un interesante estudio de Verizon, quien antes de su informe de investigaciones de violación de datos, publicó algunas estadísticas interesantes sobre el cumplimiento de PCI DSS.
La autora del informe, Ciske van Oosten, descubrió que, a pesar de que hubo una mejora en el número de empresas que lograron cumplir con el estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), solo el 40 por ciento de las empresas encuestadas cumplieron con el requisito 11, específicamente sobre entornos de pruebas regulares. Dado que la versión 3.0 del estándar requiere pruebas de penetración, dijo que en el momento de la evaluación de referencia, solo el 40 por ciento de las empresas cumplían.
La encuesta de Verizon encontró que hubo un aumento del 28,7 por ciento en el cumplimiento del requisito; este fue el requisito menos cumplido. van Oosten dijo que se trataba de empresas que no implementan un programa de vulnerabilidad de red, donde mantienen escaneos de vulnerabilidad y pruebas de penetración, para probar la efectividad de sus sistemas.
Según los hallazgos de cientos de evaluaciones de PCI DSS, realizadas por el equipo de evaluadores de seguridad calificados (QSA) de Verizon durante los últimos dos años, el informe encontró que el 51 por ciento de las empresas aprobaron siete de los requisitos, pero solo el 11 por ciento cumplió. con todos los requisitos de DSS.
“Esto resalta el problema de mantener el cumplimiento y esto es algo que vemos como un problema en la industria”, dijo.
“Hay varias razones por las que Europa tiene un nivel percibido más bajo de cumplimiento de PCI DSS en el momento de una evaluación de cumplimiento de referencia. La atención al cumplimiento y la promoción de PCI Security es relativamente menor en varios países europeos «.
Cuando se le preguntó por qué Europa tendría niveles más bajos de cumplimiento, dijo que Europa es una región compleja con muchos países y algunos desafíos únicos en comparación con otras regiones, como América del Norte.
Dijo: “Al comparar Europa occidental, donde las organizaciones pueden tener niveles más altos de madurez de protección de datos, pero tienen tecnología de tarjetas de pago más antigua en términos de infraestructura y aplicaciones, a menudo tienen dificultades para lograr que estos sistemas heredados cumplan con los requisitos de seguridad de PCI.
“En comparación, los países del Báltico u otras regiones de Europa del Este, por ejemplo, pueden tener una infraestructura y sistemas de pago relativamente más nuevos, y pueden alcanzar el cumplimiento más rápidamente. Es posible que experimenten menos demoras durante el cumplimiento inicial debido a que se enfrentan a problemas de cumplimiento relacionados con el sistema heredado. Sin embargo, estas organizaciones también tienden a reducir inicialmente los niveles de madurez de la seguridad de la información «.
Al observar algunos de los otros hallazgos, el informe de van Oosten mostró que hay varias organizaciones en Europa que no aplican el enfoque requerido en la protección de datos y el cumplimiento. “PCI Security requiere que las organizaciones cuenten con sistemas de monitoreo de registros y procedimientos de respuesta efectivos. La capacidad de detectar presuntos ataques y responder antes a las violaciones de datos es a menudo lo que determina el impacto general y el resultado final de una violación de datos ”, dijo.
Para corroborar esto, el informe encontró que el 73 por ciento de las empresas cumplían con el requisito 12: asegurarse de que la política y los procedimientos de seguridad definan claramente las responsabilidades de seguridad de la información para todo el personal.
r
Van Oosten dijo que esto muestra que el cumplimiento de PCI Security debe abordarse dentro de un contexto más amplio; con una estrategia corporativa sólida e integrada en torno a la gestión de riesgos, las políticas y la gobernanza de la seguridad, integrando también personas, procesos y tecnología para que la protección de datos forme parte del «negocio habitual», y no una actividad anual meramente con fines de cumplimiento.
Para el requisito 4, «encriptar la transmisión de datos de titulares de tarjetas a través de redes públicas abiertas», el informe encontró que el 68 por ciento de los encuestados cumplía con este requisito. Sin embargo, hubo un punto brillante en el informe: el cumplimiento inicial de las organizaciones con el estándar PCI ha mostrado cierta mejora, ya que en 2013, más del 82 por ciento de las organizaciones cumplían con al menos el 80 por ciento del estándar PCI en el momento de la publicación. su evaluación de referencia anual, en comparación con solo el 32% en 2012.
En un año en el que se han violado los minoristas y, posteriormente, se ha cuestionado el marco de cumplimiento, tal vez las cosas estén mejorando poco a poco y esto solo puede ser algo positivo.
Ciske van Oosten, gerente senior de PCI Security Services EMEA en Verizon Business, estaba hablando con Dan Raywood.

Publicaciones relacionadas

Royal Air Force selecciona SecureCloud + para los servicios de colaboración en red de Team Tempest.

El sistema bancario europeo necesita una gestión activa de las fronteras de ciberseguridad

Noticias de ITSG – ¡Retiran el mercado Range Rovers de 1,4 m!

El premio de ciberseguridad de $ 100 mil de Google otorgado a la Universidad de California en Santa Bárbara

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar