Las instituciones financieras a menudo se ocupan de las violaciones de datos debido al enorme valor que tienen los registros financieros para los atacantes externos o personas malintencionadas. Un incidente de seguridad de datos en las organizaciones financieras puede tener múltiples ramificaciones negativas tanto para la organización como para los propietarios de los datos filtrados. El año pasado se produjeron una serie de violaciones de datos en el sector financiero: Citizens Bank, Nationstar Mortgage, Central Bank of Russia, TD Bank, Bangladesh Bank y muchos otros. Una de las causas principales fue el aumento significativo de los ataques de phishing, especialmente el phishing por parte del CEO, lo que dio lugar a la violación de datos confidenciales, a partir de la PII, las fechas de nacimiento, direcciones, direcciones de correo electrónico, números de tarjetas de crédito, números de seguridad social, etc.
¿Qué es PCI DSS?
Según pcicomplianceguide.org , el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un conjunto de estándares de seguridad diseñados para garantizar que TODAS las compañías que almacenan, procesan o transmiten datos de titulares de tarjetas y / o datos de autenticación confidenciales mantienen un entorno seguro. En 2006, se lanzó el PCI SSC (Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago) para definir y administrar los estándares de seguridad, mejorando la seguridad de las cuentas de pago en todo el proceso de transacción. El cumplimiento de PCI fue fundado por American Express, MasterCard Worldwide, JCB International, Visa Inc. y Discover Financial Services. Los estándares PCI incluyen todo, desde el punto de entrada de los datos de la tarjeta a un sistema, hasta cómo se procesan los datos.
Aplicabilidad PCI DSS
PCI DSS se aplica a cualquier organización, sin importar el número de transacciones, que almacene. procesa o transmite los datos del titular de la tarjeta para las principales tarjetas de débito, crédito, prepago, e-monedero, ATM y POS. El PCI Security Standards Council incluye comerciantes, procesadores, compradores, emisores y proveedores de servicios. Las organizaciones de servicios financieros que deben ser compatibles con PCI pueden abarcar desde bancos, compañías de tarjetas de crédito, compañías de seguros, cooperativas de crédito, fondos de inversión, corretajes de valores, compañías de contabilidad, compañías financieras de consumo, fondos de bienes raíces, empresas relacionadas con el gobierno y otros.
Lea nuestro estudio de caso sobre cómo un asesor de riesgos grandes, un corredor de seguros y reaseguros protege una amplia gama de datos confidenciales, mejorando la seguridad y el cumplimiento con Endpoint Protector 4.
Puntos clave de PCI DSS
Los datos sensibles se dividen en el reglamento PCI de la siguiente manera:
Datos del titular de la tarjeta: nombre del titular, número de cuenta principal (PAN), fecha de vencimiento y código de servicio
Datos confidenciales de autenticación: CAV2 / CVC2 / CVV2 / CID, bloques de PIN / PIN, datos de pista completos (datos de banda magnética o equivalentes en un chip)
Las normas PCI incluyen 12 requisitos principales. Las organizaciones que no cumplan con los requisitos de PCI DSS 12 pueden recibir multas o perder los privilegios de procesamiento de la tarjeta de crédito.
Los 12 requisitos de acuerdo con los Requisitos de PCI y los Procedimientos de Evaluación de Seguridad versión 3.2 son:
Instale y mantenga una configuración de firewall para proteger los datos del titular de la tarjeta
No utilice los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad
Proteger los datos almacenados del titular de la tarjeta
Cifrar la transmisión de datos de titulares de tarjetas a través de redes abiertas y públicas
Proteja todos los sistemas contra el malware y actualice periódicamente el software o los programas antivirus.
Desarrollar y mantener sistemas y aplicaciones seguras.
Restringir el acceso a los datos del titular de la tarjeta por la necesidad comercial de saber
Identificar y autenticar el acceso a los componentes del sistema.
Restringir el acceso físico a los datos del titular de la tarjeta
Rastree y supervise todos los accesos a los recursos de red y los datos del titular de la tarjeta
Probar regularmente los sistemas y procesos de seguridad.
Mantener una política que aborde la seguridad de la información para todo el personal.
Las multas
El incumplimiento de PCI DSS viene acompañado de multas que van desde los $ 5,000 a los $ 100,000 por mes que son percibidos por los bancos y las instituciones de tarjetas de crédito. Incluso si las sanciones por incumplimiento no se discuten abiertamente ni se difunden ampliamente, tienen un impacto financiero negativo para la empresa en cuestión.
¿Cuál de los 12 requisitos de PCI está cubierto por Endpoint Protector DLP?
Endpoint Protector proporciona políticas PCI predefinidas para auditar y bloquear la transferencia de documentos que contienen números de tarjetas de crédito (CCN), titulares de tarjetas y otros datos asociados a destinos como aplicaciones de almacenamiento en la nube, aplicaciones de correo electrónico, mensajería instantánea, navegadores web, redes sociales, extraíbles Dispositivos, y otros.
Ayuda a satisfacer el requisito de 7.1. Limite el acceso a los componentes del sistema y los datos del titular de la tarjeta solo a aquellas personas cuyo trabajo requiera dicho acceso, lo que reduce las posibilidades de que los datos del titular de la tarjeta caigan en las manos equivocadas al detener las transmisiones de datos confidenciales.
Nuestra Prevención de pérdida de datos también ayuda a cumplir con el requisito 3: proteger los datos almacenados del titular de la tarjeta, ofreciendo un cifrado forzado para dispositivos USB para cifrar datos confidenciales si se almacena en dispositivos extraíbles. De manera similar, 9.5 requiere proteger físicamente todos los medios para evitar que personas no autorizadas obtengan acceso a los datos del titular de la tarjeta en cualquier tipo de medio.Con Endpoint Protector 4, las organizaciones pueden configurar políticas de Control de dispositivos para administrar los derechos de los dispositivos de almacenamiento portátiles, bloqueando el acceso a personas no autorizadas e impidiéndoles copiar, ver o escanear datos confidenciales.
Entre todas las industrias, la financiación suele ser la más actualizada cuando se trata de la implementación de la seguridad de la información. Sin embargo, las instituciones financieras también son los principales objetivos de los atacantes externos y están sujetas a mayores daños si los usuarios internos filtran los datos intencionalmente o por error. PCI DSS es una de las regulaciones más específicas de la industria, con requisitos claros, por lo que no hay excusa para que las organizaciones no cumplan con el cumplimiento. Además de eso, deben considerar que una implementación de seguridad de datos sólida para proteger al titular de la tarjeta y otros datos confidenciales debe complementarse con otras soluciones, procesos o tecnologías, además de las mencionadas en el reglamento de PCI.
Domotes sas es el distribuidor mayorista autorizado de Endpoint protector en Colombia y ayudamos a las empresas a cumplir con PCI. Solicite la visita de un asesor a ventas@domotes.com.