PCI DSS es un buen punto de inicio para otras certificaciones: S21sec

Hace algunos días en el marco de Infosecurity México, Omar Cruz, Ingeniero de Seguridad y Asesor Calificador en PCI DSS, ISO 27001 e ISO22301 en S21sec, dictó la ponencia “PCI DSS: Más que una certificación, un apoyo en la estrategia de Ciberseguridad” dentro del circuito denominado Smart Defense Arena.

“Cuando una compañía cubre el PCI DSS está dándole a conocer a que tiene unas prácticas de seguridad transaccional a través de toda la organización, no implica sólo tener las soluciones sino tenerlas operativas y funcionando, demuestra que tu organización tiene un nivel robusto de seguridad”, explica el consultor.

PCI DSS se refiere al Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (por sus siglas en inglés), creado por las principales compañías garantizadoras como Visa, Mastercard y American Express, certifica los procesos de una compañía, su tecnología y su personal a  través de una serie de 12 requerimientos englobados en objetivos que cada año serían sujetos de certificación sobre la gestión del riesgo, la respuesta a incidencias y la tecnlogía de que se echa mano.    

Cruz estima que la adopción de un estándar como PCI DSS, es un buen punto de inicio para después escalar a otros niveles de certificación como ISO27001 para la continuidad del negocio o ISO22301 que aborda la seguridad en las sociedades; pero ante todo considera que se debe eliminar la visión de ciberseguridad  como un obstáculo, “la seguridad no existe para entorpecer la operación sino para robustecer la organización, es un engranaje más que aporta a la su solidez”, aseguró.

En este contexto, el experto de S21sec compartió seis recomendaciones para toda empresa que esté pensando en certificarse en PCI DSS.

  1. Se debe seleccionar a los interlocutores adecuados, tomando en cuenta que deben estar involucradas las áreas de sistemas, recursos humanos, seguridad física, desarrollo, auditoría interna y dirección.
  1. Mantener el orden de los requerimientos, cumpliendo uno a uno sin tratar de abarcar todo de una sola vez para no perder perspectiva o embarcarse en un proceso que no denote avances.  
  1. Tomar en cuenta que la mejor forma de evitar costes por falta de cumplimiento es no almacenar datos de las tarjetas de los clientes.
  1. Sin embargo, se debe evaluar las obligaciones de validación y reporte, para integrar en caso necesario  el almacenamiento, procesamiento y/o transmisión de los datos de las tarjetas.
  1. Buscar el asesoramiento de expertos que puedan ayudar con la delimitación del proyecto de certificación.
  2. Convertir la seguridad en una parte fundamental de la organización toda vez que los costos por multas son altos y requerirán para seguir operando una certificación, por lo que es mejor certificarse de manera proactiva.

PCI DSS aplica a todo tipo de organizaciones que acepte, transmita o almacene datos de los tarjetahabientes independientemente de su tamaño o número de transacciones, sin embargo los requerimientos se elevan con base a este factor. S21sec certifica a una de cada tres organizaciones en México que aplica al estándar, y provee cursos en distintos niveles para facilitar el proceso.

Luis Estrada

Recent Posts

Pure Storage y Kioxia colaboran para impulsar la escalabilidad, la eficiencia y el rendimiento en los centros de datos de hiperescala

Este acuerdo permite una escala rápida al tiempo que reduce el consumo de energía y…

2 días ago

MEXDC y el Senado de la República dialogan sobre la relevancia de los Data Centers

Las líneas de diálogo entre gobierno, industria y academia se centraron en Inversión Tecnológica en…

3 días ago

Xerox propone sistemas de automatización que optimicen las operaciones de las empresas

Por Rafael Hirata, Jefe de Innovación y Desarrollo de Negocios Digitales, responsable de Servicios de…

3 días ago

Appian, elegida líder en Everest Group’s Process Orchestration Products PEAK Matrix 2024

Según Everest Group: “Appian tiene como objetivo ofrecer automatización y orquestación integral de procesos a…

3 días ago

Las nuevas tecnologías y su impacto en el crecimiento empresarial para 2025

Por Uriel Fraire, Regional Sales Manager Mexico de Universal Robots.

4 días ago