APIs con certificación PCI DSS, RGPD y Open Banking
¿Qué es la certificación PCI DSS?
PCI DSS (PaymentCardIndustry – Data Security Standard) es un estándar
de seguridad de alto nivel, indicado para todo el ecosistema de empresas que
graban o procesan datos de tarjetas de crédito y débito – cubriendo desde
dispositivos electrónicos, hasta aplicaciones e infraestructuras.
Este estándar fue establecido por PCI Security Standards Council
(PCI SSC), formado por las grandes compañías de tarjetas, para tornar el
ecosistema de pagos electrónicos más seguro y garantizar la adhesión y
confianza de los clientes.
¿Las APIs necesitan ser PCI Compliant?
Cualquier empresa que acepta pagos con tarjeta de crédito/débito, procesando o almacenando datos de estas tarjetas, es indicada para tener la certificación PCI DSS. Este escenario es cada vez más común, principalmente para empresas involucradas en sectores como Mercado Minorista, Servicios Financieros y proveedores de tecnología.En el caso que sus APIs trafiquen alguna información relacionada a tarjetas de pagos, entonces es muy importante que usted y los colaboradores técnicos involucrados en la sustentación de estas APIs cumplan los requerimientos y posean la certificación PCI.
¿Por qué la certificación PCI es importante?
Las personas cada vez más utilizan tarjetas de crédito y débito (físicas o
virtuales), en lugar de dinero, para realizar pagos. Estos medios electrónicos
promueven facilidades no solamente para los consumidores, sino también para
los criminales.
Usando exploit kits de uso simple, hackers de
diversas partes del mundo explotan vulnerabilidades en sistemas y realizan
crímenes en escala, causando enormes perjuicios y convirtiéndose en un gran
riesgo para las empresas. Este riesgo no involucra solamente vulnerabilidades
externas, sino también amenazas de origen interno.
En el caso que
ocurra fuga de datos, esto puede traer consecuencias graves como: penalidades,
multas, pérdida de la confianza de los clientes y de ventas futuras, costos
adicionales de adecuación a las normas, prohibición de procesamiento de pagos
can los tarjetas, e incluso la quiebra.
Sin la certificación PCI, las empresas no lograr firmar acuerdos con muchas empresas del ecosistema de pagos. Obtener una certificación PCI significa que están siendo aplicadas prácticas fundamentales en seguridad de datos.
Siendo así, poseer el certificado PCI y colaboradores PCI compliant puede traer beneficios como:
- Más alto nivel de seguridad de datos
- Diferenciación de los competidores
- Reducción de riesgos
- Aumento en la confianza de los consumidores
- Facilidad en firmar acuerdos para ser proveedores de las grandes empresas que trafican pagos de tarjeta.
- Salir adelante y acortar la preparación para las regulaciones de privacidad como GDPR, LGPD e incluso, Open Banking.
¿Qué exige la certificación PCI?
Las recomendaciones del PCI son buenas prácticas de seguridad de la
información y suministra una metodología clara de lo que debe ser alcanzado.
La certificación PCI intenta alcanzar 6 objetivos, para esto,
fueron definidos 12 requerimientos, que son verificados por una serie de
procedimientos de prueba y conformidad, siendo confirmados por una entidad
autorizada para realizar la certificación:
Objetivo 1 – Construir y mantener la seguridad de red y sistemas
- Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta
- No usar estándares dispuestos por el proveedor para contraseñas del sistema y otros parámetros de seguridad
Objetivo 2 – Proteger los datos del titular de la tarjeta
- Proteger los datos almacenados del titular de la tarjeta
- Cifrar la transmisión de los datos del titular de la tarjeta en redes abiertas y públicas
Objetivo 3 – Mantener un programa de gestión de vulnerabilidades
- Proteger todos los sistemas contra malware y actualizar regularmente programas o software antivirus
- Desarrollar y mantener sistemas y aplicaciones seguros
Objetivo 4 – Implementar medidas rigurosas de control de acceso
- Restringir el acceso a los datos del titular de la tarjeta de acuerdo con la necesidad de conocimiento para el negocio
- Identificar y autenticar el acceso a los componentes del sistema
- Restringir el acceso físico a los datos del titular de la tarjeta
Objetivo 5 – Monitorear y probar las redes regularmente
- Supervisar y monitorear todos los accesos con relación a los recursos de la red y a los datos del titular de la tarjeta
- Probar regularmente los sistemas y procesos de seguridad
Objetivo 6 – Mantener una política de seguridad de informaciones
- Mantener una política que aborde la seguridad de la información para todas los equipos
¿Qué tiene que ver la certificación PCI con GDPR y con LGPD? ¿Puede ayudar?
GDPR (General Data ProtectionRegulation) entró en vigor en la Unión Europea en
el 2018 y se aplica a todas las empresas que guardan o procesan datos que
identifiquen a ciudadanos europeos, proveyendo una serie de derechos para
garantizar la propiedad, la finalidad, el consentimiento, la transparencia y
la privacidad a los individuos sobre los datos relacionados a ellos.
Regulaciones similares están siendo desarrolladas por diversos
países. En Brasil, el congreso nacional está definiendo la aplicación de una
regulación similar al GDPR (LGPD – Ley General de Protección de Datos) en
Agosto/2020.
Están sujetas a las multas, en el caso de GDPR, todas
las empresas que operan en el Espacio Económico Europeo, independientemente de
su país de origen, de hasta 4% de la facturación global o 20 millones de euros
– lo que sea mayor, y hasta la suspensión de las actividades con la UE.
El cumplimiento de estas regulaciones colocadesafíos técnicos y de
negocio para las empresas, que necesitan protegerse de las amenazas y
aprovechar las oportunidades que se abren. No obstante, aunque dejen explícito
los derechos de los ciudadanos, estas regulaciones no suministran una guía
clara de cómo estar en conformidad.
A pesar de que el alcance de
protección de datos del PCI sea menor (datos de tarjetas de pagos), está
contenido en el alcance de datos personales de LGPD y de GDPR. Además de esto,
el proceso de certificación PCI provee una metodología definida para que su
empresa gane capacidad de mapear y proteger datos sensibles durante el
procesamiento, transmisión y almacenamiento.
Estar PCI compliant
indica que su empresa está atenta a las prácticas más maduras de protección de
datos, y está al frente de la competencia en la adecuación a GDPR y a LGPD.
Open Banking
Los bancos centrales de varios países están desarrollando regulaciones
similares a PSD2 de la Unión Europea, exigiendo de los bancos la apertura de
datos bancarios y servicios de pagos a través de APIs, para ser consumidas por
empresas terceras que posean el consentimiento de los usuarios.
El
BC de Brasil está planificando aplicar una regulación similar a PSD2 para Open Banking antes del inicio del 2º semestre/2020.
Esta regulación tiene como objetivo aumentar la competencia en el sector y da
oportunidades para que las empresas terceras se integren a los bancos vía
APIs, y utilizando estos datos, suministren ofertas y mejores experiencias
para los consumidores.
Estas oportunidades no están restringidas a
las empresas del sector financiero, también están siendo evaluadas por grandes
empresas minoristas, telecom, utilities – que comienzan a ofrecer servicios
financieros propios.
Para aprovechar las posibilidades de esta
regulación, en lo que se refiere a los pagos con tarjetas, la certificación
PCI es un paso esencial. Además de esto, se discute la necesidad de una
certificación similar al PCI DSS para la protección de los datos bancarios.
Estar familiarizado con las prácticas exigidas en el PCI DSS acelera mucho la
preparación para desarrollar negocios basados en Open Banking.
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!