Educación: pilar fundamental en las nuevas versiones de PCI DSS y PA-DSS

Esta semana fue lanzada la versión 3.0 de los estándares PCI DSS (Payment Card Industry Data Security Standard) y PA-DSS (Payment Application Data Security Standard), utilizados por las empresas que realizan operaciones con tarjetas tanto de débito como de crédito para efectuar recaudos en transacciones comerciales.

PCI Logo

Los cambios realizados sobre los estándares hacen parte del ciclo de vida que el PCI SCC (PCI Security Standars Council) establece para este tipo de normativas. Los cambios que ya habían sido compartidos desde agosto y reúnen  los comentarios y sugerencias de aquellas empresas que han implementado estos estándares respondiendo a las necesidades del mercado.

Con estas nuevas versiones se busca incrementar los niveles de seguridad en la empresas que hacen transacciones utilizando estos medios de pago permitiendo que estas actividades sean cada más flexibles. Es importante destacar que estas nuevas versiones hacen énfasis en la importancia de la educación y la concientización de los usuarios en temas de seguridad, ya que todos los involucrados son responsables.

Es interesante como estas nuevas versiones se enfocan en la importancia de llevar los temas de seguridad a los usuarios finales de los servicios. Si bien las empresas pueden tener sistemas y procesos que garanticen transacciones seguras, de nada servirán si sus usuarios utilizan contraseñas débiles o no saben cómo identificar y protegerse de campañas de phishing.

Dentro de los cambios en los requisitos de la versión 3.0 de este nuevo estándar aparece el evaluar la evolución de los códigos maliciosos en sistemas diferentes a los usuales, lo cual refuerza que este tipo de amenazas ya no son exclusivas de las computadoras o dispositivos móviles.

El uso de sistemas flexibles de autenticación, realizar evaluación de vulnerabilidades de los sistemas, mejorar los sistemas de respuesta a incidentes y realizar análisis de riesgos sobre los procesos de desarrollo de software, son algunos de los cambios introducidos en los requisitos de estas nuevas versiones. Aquellos interesados en conocer todos los cambios que incluye la versión 3.0 de estos estándares con respecto a la versión anterior, pueden acceder a un resumen completo publicado por el PCI SSC en su página web.

Las versiones 3.0 tanto del PCI DSS como del PA-DSS ya se pueden encontrar el sitio web oficial del PCI SSC y empezarán a aplicar a partir del primero de enero del próximo año. Para aquellas empresas que tengan implementadas las versiones 2.0 estas seguirán siendo válidas hasta finales del 2014, lo cual dará un tiempo para que realicen la transición al nuevo estándar.

La situación actual de las empresas de Latinoamérica con respecto a la adopción del estándar PCI DSS es de inferioridad en relación al resto del mundo. Por lo tanto es necesario recalcar la importancia de adoptar este tipo de estándares que proponen buenas prácticas en lo que respecta al manejo de información sensible en transacciones financieras.

Cuando en una empresa existe interés por gestionar la seguridad de la información es muy importante asumir el compromiso de implementar los procesos y las medidas de control necesarias, y tal como se resalta en PCI DSS y PA-DSS, es muy importante que los usuarios hagan un uso seguro de la tecnología para garantizar la seguridad en las transacciones.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research

Autor , ESET

Síguenos