Seguridad de los datos de las tarjetas de pago y teletrabajo
Un breve repaso al PCI DSS
A medida que la pandemia de COVID-19 se ha ido expandiendo por todo el mundo, las empresas se han visto obligadas a afrontar la dificultad de mantener sus operaciones comerciales mientras cumplen con las nuevas regulaciones impuestas por los gobiernos en relación con el movimiento de personas.
En este contexto, el teletrabajo se ha impuesto como la solución más conveniente en aras de reducir el riesgo de padecer un brote de coronavirus en la oficina. Y aunque para ciertos tipos de trabajos y sectores esto no plantea grandes problemas, otros se enfrentan al peligro de no cumplir con los reglamentos de protección de datos y las normas de la industria.
Un breve repaso al PCI DSS
El Estándar de Seguridad de Datos de la Industria de las Tarjetas de Pago (PCI DSS) ha sido considerado durante mucho tiempo como un obstáculo para el trabajo remoto, ya que el cumplimiento es difícil de lograr en un entorno no controlado, como el hogar de un empleado.
El PCI DSS es un conjunto de 12 requisitos de seguridad que ayuda a las empresas a proteger sus sistemas de pago contra las infracciones, el fraude y el robo de los datos de los titulares de las tarjetas.
Incluyen, entre otros, la necesidad de implementar fuertes medidas de control de acceso, proteger los datos de los titulares de las tarjetas y mantener adecuada una política de seguridad de la información.
Aunque no es jurídicamente vinculante, el PCI DSS fue adoptado a nivel mundial como norma general por las instituciones financieras, en particular los bancos, y se exige a todas las empresas que procesan, almacenan o transmiten información de tarjetas de crédito de los mayores sistemas de tarjetas del mundo: American Express, Discover, JCB, MasterCard y Visa.
El incumplimiento del PCI DSS tiene un alto precio
Las organizaciones se enfrentan a multas de hasta 100.000 dólares al mes y a un aumento de los gastos de transacción y se arriesgan a que se termine su relación con el banco. Peor aún, pueden acabar dentro de la temida lista MATCH (Merchant Alert to Control High-Risk) que garantizará que nunca más se les permita procesar pagos con tarjeta.
Cómo cumplir con el PCI DSS tras la pandemia de COVID-19
El Consejo de Normas de Seguridad de la PCI ha reconocido las circunstancias extraordinarias a las que se enfrentan las empresas de todo el mundo en la actualidad y ha publicado directrices para el trabajo a distancia, al tiempo que ha subrayado la necesidad de mantener determinadas prácticas de seguridad para proteger los datos de las tarjetas de pago en este momento.
Estas mejores prácticas para el trabajo a distancia, sin embargo, no sustituyen los requisitos del PCI DSS, sino que tienen por objeto ayudar a las empresas a cumplir con los requisitos mientras sus empleados trabajan desde casa.
Según la orientación emitida por el Consejo, una de las mejores maneras de garantizar el cumplimiento continuo es crear y mantener una cultura de seguridad dentro de la organización.
Esto puede lograrse mediante un programa de concienciación sobre seguridad que informe a los empleados sobre las políticas y procedimientos de seguridad de una empresa y les ayude a comprender su importancia tanto para la seguridad de los datos como para el cumplimiento.
Cabe destacar, en este sentido, que si las empresas cumplían con el PCI DSS antes de la crisis de salud que hemos afrontado ya deberían tener un programa de este tipo en marcha, ya que es parte del requisito 12.6 del PCI DSS.
Educar y formar a los empleados es imperativo
En el caso del trabajo a distancia, aumenta la necesidad de informar y educar a los empleados: deben ser conscientes de los riesgos que supone trabajar desde casa para el cumplimiento del PCI DSS y de lo que deben hacer para garantizar la seguridad continua de los sistemas, procesos y equipos que respaldan el procesamiento de los datos de las tarjetas de pago.
Si bien esto puede ser un reto fuera de la oficina, los empleados deben saber que el requisito más esencial es que los sistemas utilizados para procesar los datos de las cuentas se mantengan en condiciones de seguridad y no sean accesibles a ninguna persona no autorizada.
Esto significa protección contra las interferencias externas, contra cualquier descuido por parte de los propios empleados y el bloqueo del acceso físico al lugar donde se realiza su trabajo. Por consiguiente, los empleados deben mantener un espacio de oficina en el hogar en el que no puedan entrar otros miembros de su familia.
Algo que en algunos hogares se antoja difícil, teniendo en cuenta que por motivos de seguridad se recomienda no acceder a la conexión a Internet por Wi-Fi sino por cable y la mayoría tiene instalado el router en el salón, justo al lado de la televisión.
Autenticación multifactorial, prevención de pérdidas y almacenamiento seguro de datos
El espacio físico en el que un empleado trabaja a distancia y procesa los pagos con tarjeta debe ser supervisado eficazmente y el acceso a él controlado en todo momento. Cerrar el espacio de una oficina en casa es la única forma de evitar el acceso físico a cualquier sistema que procese los datos de las cuentas.
Sin embargo, también es esencial que se establezcan procesos de autenticación multifactorial para asegurarse de que, en caso de que alguien acceda físicamente al espacio de la oficina en el hogar, no pueda acceder a los datos de las cuentas bajo ningún concepto.
La transferencia de datos también puede controlarse mediante herramientas de prevención de pérdidas de datos, que permiten a las empresas supervisar las transferencias de información de tarjetas de crédito mediante políticas predefinidas y bloquear su transferencia a través de puntos de salida inseguros, como los servicios de intercambio de archivos o las aplicaciones de mensajería instantánea, que los empleados podrían sentirse tentados a utilizar mientras trabajan a distancia.
Los datos impresos de las cuentas también deben almacenarse de forma segura, preferiblemente bajo llave y destruirse o eliminarse de cualquier otra forma cuando ya no se necesiten.
Limitación de la exposición a los datos
Los empleados sólo deben utilizar el hardware aprobado por la empresa: ya sean portátiles, teléfonos o dispositivos extraíbles. De esta manera, las empresas pueden mantener el control de los sistemas y la tecnología de apoyo al procesamiento de pagos.
A través de esta metodología, las organizaciones pueden asegurarse de que no se conecten dispositivos no autorizados a los ordenadores del trabajo mediante la aplicación de políticas de control de dispositivos que limiten o bloqueen totalmente los puertos USB y periféricos, tanto si un dispositivo está en línea como si no.
También se recomienda que todos los ordenadores de la empresa que se utilicen de forma remota tengan instalados cortafuegos actualizados, soluciones antivirus corporativas y parches de seguridad. Estos controles de seguridad deben ser configurados de tal manera que los usuarios no puedan deshabilitarlos.
PayByCall, una solución idónea para el procesamiento de pagos en tiempos de crisis
PayByCall es una solución de pagos por tarjeta a través de teléfono que ofrece la posibilidad de integrar, dentro de la llamada de un empleado con un cliente, un operador artificial que se encargará de recoger y enviar los datos de la tarjeta del cliente sin almacenarlos ni gestionarlos en ningún momento.
Con PayByCall, ningún empleado tiene acceso ni gestiona los datos de las cuentas de ninguna forma. Tras informar adecuadamente al cliente de que se le conectará con el software de pago, el sistema automáticamente captura los datos de la tarjeta que introduzca el cliente y los remitirá al banco para procesar el pago.
Descubra cómo podemos ayudarle a cumplir con la nueva normativa y directrices del PCI DSS. Contacte con nosotros y le asesoraremos en torno a cualquier cuestión que pudiera tener, sin compromiso.
