Las bases de datos con información de tarjetas de crédito son uno de los puntos de riesgo más sensibles de las empresas modernas. Si los delincuentes cibernéticos pueden levantar los datos y robarles a los clientes, pueden causar estragos en la reputación de una empresa y posiblemente llevarlos a los tribunales, pero según Richard Hollis, muchos no están haciendo lo suficiente para proteger los detalles de las tarjetas de crédito..

El CEO de The Risk Factory, una consultora de servicios de gestión de la información, describe el peligro del robo de la base de datos como "la mayor amenaza que puede transmitir en la web" y que los precios del mercado negro muestran que está creciendo..

"El precio actual hace 10 años para el nombre, la dirección, el número de la tarjeta y la fecha de vencimiento fue de alrededor de £ 10 por registro, por lo que 10,000 traerían £ 100,000, pero ahora se reduce a 50 peniques y eso es solo oferta y demanda", dice..

Normas PCI

El Consejo de Normas de la Industria de Tarjetas de Pago proporciona un marco de controles para proteger los datos, 288 de ellos, que se extienden a áreas como la configuración de firewalls, cómo usar software antivirus y políticas de seguridad. Mientras que los comerciantes de Level One (aquellos que manejan más de un millón de transacciones por año) necesitan una verificación por parte de un tercero para demostrar que cumplen, otros pueden realizar una autoevaluación firmada por un director.

Pero Hollis dice que puede ser costoso cumplir con los estándares, incluso para una pequeña empresa; uno que utiliza una arquitectura orientada a la web para procesar pagos puede pagar fácilmente más de £ 10,000. También puede consumir mucho tiempo y, si se contrata alguno de los procesos, las normas deben aplicarse en todas las etapas..

Él cree que el cumplimiento total es muy raro, pero ve la solución para simplificar el enfoque de la gestión de datos de tarjetas de crédito y aboga por un enfoque de cinco pasos que afirma que puede ahorrar dinero al tiempo que reduce el riesgo.

"El número uno es descubrir y documentar", dice. "Debe realizar un inventario de los datos de su tarjeta. No puede reducir lo que no ha medido.

"Dibuje un diagrama de red que muestre los datos de su tarjeta como un mapa de calor, anotando todos sus dispositivos para mostrar dónde residen los datos. Por ejemplo, los datos están en este servidor, esa computadora portátil, ese escritorio, etc..

"El siguiente paso es destruir y descontinuar. Si no lo necesita, deshágase de él, ya sea en papel o en papel..

"Tómese su tiempo y use su mapa. Por ejemplo, si tiene datos de la tarjeta en Outlook porque le ha sido enviado por correo electrónico, el servidor web está 'dentro del alcance' y todos los 288 controles se aplican a él. Por lo tanto, debe preguntar. '¿Por qué lo necesitamos en Outlook, por qué está en las tarjetas de memoria, y luego eliminar, eliminar, eliminar?.

"Además, cualquier tercero conectado a su sistema está dentro del alcance. Si está conectado y no necesita acceso a los datos de la tarjeta, quítelos fuera del alcance.

"Tercero, es subcontratar y supervisar. Si puede subcontratar ese sitio web y hacer que sea su responsabilidad, transfiere el riesgo. Asegúrese de tener un contrato que aclare quién es el responsable..

"Por ejemplo, cuando alguien quiere comprar su producto, puedo darles una pasarela de pago y pueden ir a un procesador de pagos. Usted simplemente contrata el cumplimiento de PCI con el procesador de pagos.

"Entonces, si no puede hacer eso, separe y segmente. Los controles 288 solo se aplican a la arquitectura que facilita el procesamiento, almacenamiento y transmisión de esos datos. Separe cualquier dispositivo que no esté involucrado en esto, por lo que saldrá de alcance y se puede ahorrar dinero ".

Tokenización

Hollis describe el paso final como "tokenización", eliminando los números de tarjeta de crédito del proceso tanto como sea posible. Un servidor web puede enviar datos de la tarjeta de crédito a un servidor de token, que oculta el número de la tarjeta de crédito y empuja un token (16 dígitos diferentes) a través del resto del sistema para la autenticación..