12 ago. 2020

APIs con certificación PCI DSS, RGPD y Open Banking

¿Qué es la certificación PCI DSS?

PCI DSS (PaymentCardIndustry – Data Security Standard) es un estándar de seguridad de alto nivel, indicado para todo el ecosistema de empresas que graban o procesan datos de tarjetas de crédito y débito – cubriendo desde dispositivos electrónicos, hasta aplicaciones e infraestructuras.

Este estándar fue establecido por PCI Security Standards Council (PCI SSC), formado por las grandes compañías de tarjetas, para tornar el ecosistema de pagos electrónicos más seguro y garantizar la adhesión y confianza de los clientes.

¿Las APIs necesitan ser PCI Compliant?

Cualquier empresa que acepta pagos con tarjeta de crédito/débito, procesando o almacenando datos de estas tarjetas, es indicada para tener la certificación PCI DSS. Este escenario es cada vez más común, principalmente para empresas involucradas en sectores como Mercado Minorista, Servicios Financieros y proveedores de tecnología.

En el caso que sus APIs trafiquen alguna información relacionada a tarjetas de pagos, entonces es muy importante que usted y los colaboradores técnicos involucrados en la sustentación de estas APIs cumplan los requerimientos y posean la certificación PCI.

¿Por qué la certificación PCI es importante?

Las personas cada vez más utilizan tarjetas de crédito y débito (físicas o virtuales), en lugar de dinero, para realizar pagos. Estos medios electrónicos promueven facilidades no solamente para los consumidores, sino también para los criminales.

Usando exploit kits de uso simple, hackers de diversas partes del mundo explotan vulnerabilidades en sistemas y realizan crímenes en escala, causando enormes perjuicios y convirtiéndose en un gran riesgo para las empresas. Este riesgo no involucra solamente vulnerabilidades externas, sino también amenazas de origen interno.

En el caso que ocurra fuga de datos, esto puede traer consecuencias graves como: penalidades, multas, pérdida de la confianza de los clientes y de ventas futuras, costos adicionales de adecuación a las normas, prohibición de procesamiento de pagos can los tarjetas, e incluso la quiebra.

Según el Report 2019 CostOf A Data Breach, las fugas de datos ocurridos en el 2019 generaron un costo promedio de US$ 3,92 millones cada uno para las empresas.

Sin la certificación PCI, las empresas no lograr firmar acuerdos con muchas empresas del ecosistema de pagos. Obtener una certificación PCI significa que están siendo aplicadas prácticas fundamentales en seguridad de datos.

Siendo así, poseer el certificado PCI y colaboradores PCI compliant puede traer beneficios como:
  • Más alto nivel de seguridad de datos
  • Diferenciación de los competidores
  • Reducción de riesgos
  • Aumento en la confianza de los consumidores
  • Facilidad en firmar acuerdos para ser proveedores de las grandes empresas que trafican pagos de tarjeta.
  • Salir adelante y acortar la preparación para las regulaciones de privacidad como GDPR, LGPD e incluso, Open Banking.

¿Qué exige la certificación PCI?

Las recomendaciones del PCI son buenas prácticas de seguridad de la información y suministra una metodología clara de lo que debe ser alcanzado.

La certificación PCI intenta alcanzar 6 objetivos, para esto, fueron definidos 12 requerimientos, que son verificados por una serie de procedimientos de prueba y conformidad, siendo confirmados por una entidad autorizada para realizar la certificación:

Objetivo 1 – Construir y mantener la seguridad de red y sistemas

  1. Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta
  2. No usar estándares dispuestos por el proveedor para contraseñas del sistema y otros parámetros de seguridad

Objetivo 2 – Proteger los datos del titular de la tarjeta

  1. Proteger los datos almacenados del titular de la tarjeta
  1. Cifrar la transmisión de los datos del titular de la tarjeta en redes abiertas y públicas

Objetivo 3 – Mantener un programa de gestión de vulnerabilidades

  1. Proteger todos los sistemas contra malware y actualizar regularmente programas o software antivirus
  2. Desarrollar y mantener sistemas y aplicaciones seguros

Objetivo 4 – Implementar medidas rigurosas de control de acceso

  1. Restringir el acceso a los datos del titular de la tarjeta de acuerdo con la necesidad de conocimiento para el negocio
  2. Identificar y autenticar el acceso a los componentes del sistema
  3. Restringir el acceso físico a los datos del titular de la tarjeta

Objetivo 5 – Monitorear y probar las redes regularmente

  1. Supervisar y monitorear todos los accesos con relación a los recursos de la red y a los datos del titular de la tarjeta
  2. Probar regularmente los sistemas y procesos de seguridad

Objetivo 6 – Mantener una política de seguridad de informaciones

  1. Mantener una política que aborde la seguridad de la información para todas los equipos
Estos procedimientos de prueba están relacionados con 4 niveles de seguridad (el nivel 1 es el más alto) de acuerdo principalmente con el volumen de transacciones:

¿Qué tiene que ver la certificación PCI con GDPR y con LGPD? ¿Puede ayudar?

GDPR (General Data ProtectionRegulation) entró en vigor en la Unión Europea en el 2018 y se aplica a todas las empresas que guardan o procesan datos que identifiquen a ciudadanos europeos, proveyendo una serie de derechos para garantizar la propiedad, la finalidad, el consentimiento, la transparencia y la privacidad a los individuos sobre los datos relacionados a ellos.

Regulaciones similares están siendo desarrolladas por diversos países. En Brasil, el congreso nacional está definiendo la aplicación de una regulación similar al GDPR (LGPD – Ley General de Protección de Datos) en Agosto/2020.

Están sujetas a las multas, en el caso de GDPR, todas las empresas que operan en el Espacio Económico Europeo, independientemente de su país de origen, de hasta 4% de la facturación global o 20 millones de euros – lo que sea mayor, y hasta la suspensión de las actividades con la UE.

El cumplimiento de estas regulaciones colocadesafíos técnicos y de negocio para las empresas, que necesitan protegerse de las amenazas y aprovechar las oportunidades que se abren. No obstante, aunque dejen explícito los derechos de los ciudadanos, estas regulaciones no suministran una guía clara de cómo estar en conformidad.

A pesar de que el alcance de protección de datos del PCI sea menor (datos de tarjetas de pagos), está contenido en el alcance de datos personales de LGPD y de GDPR. Además de esto, el proceso de certificación PCI provee una metodología definida para que su empresa gane capacidad de mapear y proteger datos sensibles durante el procesamiento, transmisión y almacenamiento.

Estar PCI compliant indica que su empresa está atenta a las prácticas más maduras de protección de datos, y está al frente de la competencia en la adecuación a GDPR y a LGPD.

Open Banking

Los bancos centrales de varios países están desarrollando regulaciones similares a PSD2 de la Unión Europea, exigiendo de los bancos la apertura de datos bancarios y servicios de pagos a través de APIs, para ser consumidas por empresas terceras que posean el consentimiento de los usuarios.

El BC de Brasil está planificando aplicar una regulación similar a PSD2 para Open Banking antes del inicio del 2º semestre/2020.

Esta regulación tiene como objetivo aumentar la competencia en el sector y da oportunidades para que las empresas terceras se integren a los bancos vía APIs, y utilizando estos datos, suministren ofertas y mejores experiencias para los consumidores.

Estas oportunidades no están restringidas a las empresas del sector financiero, también están siendo evaluadas por grandes empresas minoristas, telecom, utilities – que comienzan a ofrecer servicios financieros propios.

Para aprovechar las posibilidades de esta regulación, en lo que se refiere a los pagos con tarjetas, la certificación PCI es un paso esencial. Además de esto, se discute la necesidad de una certificación similar al PCI DSS para la protección de los datos bancarios. Estar familiarizado con las prácticas exigidas en el PCI DSS acelera mucho la preparación para desarrollar negocios basados en Open Banking.

Fuente: Sensedia

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!