Seguridad de datos para empresas de tarjetas de crédito y procesamiento de pagos
Las empresas de tarjetas de crédito y procesamiento de pagos, como su propio nombre indica, trabajan a diario con información sensible de los titulares de tarjetas de crédito y, en consecuencia, están sujetas a requisitos estrictos de seguridad de datos. El principal de ellos es el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), que ha sido adoptado por instituciones financieras de todo el mundo como norma general para ayudar a proteger los sistemas de pago de las infracciones, el fraude y el robo de datos de los titulares de tarjetas.
Requisitos de cumplimiento de datos
PCI DSS es una norma internacional de seguridad de la información desarrollada por el PCI Security Standards Council para las organizaciones que manejan la información de los titulares de tarjetas de los mayores sistemas de tarjetas del mundo: American Express, Discover, JCB, MasterCard y Visa. Todas las empresas que deseen aceptar pagos con tarjeta por teléfono, en persona o en línea deben cumplir la norma PCI DSS.
Las organizaciones que no cumplan con los requisitos del PCI DSS se enfrentan a multas de hasta 100.000 dólares al mes y a un aumento de las comisiones por transacción. También pueden ver rescindida su relación con su banco de forma permanente y acabar en la lista de Merchant Alert to Control High-Risk (MATCH), lo que significa que nunca más se les permitirá procesar pagos con tarjeta.
Por tanto, el cumplimiento de la norma PCI DSS es primordial para las empresas de tarjetas de crédito y procesamiento de pagos, pero no es la única norma que deben cumplir. Junto con la información del titular de la tarjeta, también recopilan cantidades masivas de Información de Identificación Personal (PII), incluyendo nombres, direcciones y números de teléfono, que están protegidos por leyes de protección de datos como el Reglamento General de Protección de Datos (GDPR) de la UE y la Ley de Privacidad del Consumidor de California (CCPA).
Por lo tanto, la seguridad de los datos no es solo una preocupación pasajera para las empresas de tarjetas de crédito y procesamiento de pagos, sino un aspecto vital de su negocio. Según el Informe sobre el Coste de una Violación de Datos 2021 de IBM y el Instituto Ponemon, el sector financiero, al que pertenecen las empresas de tarjetas de crédito y procesamiento de pagos, tiene el segundo coste más alto de violación de datos de cualquier industria: 5,72 millones de dólares por violación de datos, siendo la pérdida de negocio el mayor factor de coste. Entonces, ¿cómo pueden las empresas de tarjetas de crédito y procesamiento de pagos proteger mejor sus datos y evitar estas pérdidas? Veámoslo más de cerca.
Abordar las amenazas internas
La ciberseguridad se equipara a menudo con la necesidad de proteger las redes de la empresa contra las amenazas externas. Sin embargo, aunque la protección de los datos y los sistemas frente a los ciberataques es una parte importante de cualquier esfuerzo de ciberseguridad, las empresas de tarjetas de crédito y procesamiento de pagos no deben descuidar el segundo factor más importante que contribuye a las violaciones de datos: los propios empleados. Ya sea por negligencia o por intención maliciosa, las amenazas internas son una de las principales causas de las fugas de datos.
Las empresas de tarjetas de crédito y procesamiento de pagos pueden utilizar soluciones de prevención de pérdida de datos (DLP) para proteger los datos de las amenazas internas sin que ello afecte negativamente a la productividad de los empleados. Utilizando perfiles predefinidos para los datos protegidos por leyes y normas como PCI DSS y GDPR, pero también permitiendo definiciones personalizadas, las soluciones de DLP identifican, supervisan y controlan los datos sensibles.
Mediante el escaneo contextual y la inspección de contenidos, pueden identificar la información de los titulares de las tarjetas, la PII y cualquier otro tipo de datos definidos como sensibles en cientos de tipos de archivos, supervisarlos y bloquear o limitar su transferencia. Las soluciones de DLP con un alto nivel de granularidad, como Endpoint Protector, permiten aplicar políticas de DLP a departamentos, grupos, individuos u ordenadores concretos, en función de su nivel de acceso a la información sensible.
Restringir el acceso a los datos sensibles
Las empresas que necesitan cumplir con la norma PCI DSS deben restringir el acceso a los datos sensibles en función de la necesidad de conocerlos. Esto significa que sólo los empleados autorizados deben tener acceso a la información sensible y, aun así, sólo deben acceder a ella cuando sea necesario para completar las tareas.
Los escaneos de descubrimiento de contenido de la DLP pueden ayudar a las empresas de tarjetas de crédito y procesamiento de pagos a garantizar el cumplimiento de este requisito. Las organizaciones pueden utilizar herramientas de DLP para buscar en toda la red de la empresa los datos sensibles almacenados localmente en los ordenadores de sus empleados y eliminarlos o cifrarlos cuando se encuentren en lugares no autorizados.
Bloquear o limitar el uso de dispositivos extraíbles
Los dispositivos extraíbles son otro punto común de salida de datos. Cuando se trata de empresas de tarjetas de crédito y procesamiento de pagos que recogen, procesan y archivan cantidades masivas de datos sensibles, el uso de dispositivos extraíbles por parte de los empleados puede suponer un alto riesgo para la seguridad.
Las empresas pueden utilizar soluciones de DLP para bloquear el uso de puertos USB y periféricos, así como las conexiones Bluetooth, o limitar su uso a los dispositivos aprobados. De este modo, las organizaciones pueden controlar el nivel de seguridad de los dispositivos conectados a los ordenadores del trabajo, pero también identificar fácilmente qué empleado ha utilizado un dispositivo extraíble y en qué momento. Las empresas pueden así identificar cualquier intento potencial de robo de datos por parte de empleados malintencionados.
