PCI DSS es un buen punto de inicio para otras certificaciones: S21sec

Hace algunos días en el marco de Infosecurity México, Omar Cruz, Ingeniero de Seguridad y Asesor Calificador en PCI DSS, ISO 27001 e ISO22301 en S21sec, dictó la ponencia “PCI DSS: Más que una certificación, un apoyo en la estrategia de Ciberseguridad” dentro del circuito denominado Smart Defense Arena.

“Cuando una compañía cubre el PCI DSS está dándole a conocer a que tiene unas prácticas de seguridad transaccional a través de toda la organización, no implica sólo tener las soluciones sino tenerlas operativas y funcionando, demuestra que tu organización tiene un nivel robusto de seguridad”, explica el consultor.

PCI DSS se refiere al Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (por sus siglas en inglés), creado por las principales compañías garantizadoras como Visa, Mastercard y American Express, certifica los procesos de una compañía, su tecnología y su personal a  través de una serie de 12 requerimientos englobados en objetivos que cada año serían sujetos de certificación sobre la gestión del riesgo, la respuesta a incidencias y la tecnlogía de que se echa mano.    

Cruz estima que la adopción de un estándar como PCI DSS, es un buen punto de inicio para después escalar a otros niveles de certificación como ISO27001 para la continuidad del negocio o ISO22301 que aborda la seguridad en las sociedades; pero ante todo considera que se debe eliminar la visión de ciberseguridad  como un obstáculo, “la seguridad no existe para entorpecer la operación sino para robustecer la organización, es un engranaje más que aporta a la su solidez”, aseguró.

En este contexto, el experto de S21sec compartió seis recomendaciones para toda empresa que esté pensando en certificarse en PCI DSS.

1. Se debe seleccionar a los interlocutores adecuados, tomando en cuenta que deben estar involucradas las áreas de sistemas, recursos humanos, seguridad física, desarrollo, auditoría interna y dirección.

2. Mantener el orden de los requerimientos, cumpliendo uno a uno sin tratar de abarcar todo de una sola vez para no perder perspectiva o embarcarse en un proceso que no denote avances.  

3. Tomar en cuenta que la mejor forma de evitar costes por falta de cumplimiento es no almacenar datos de las tarjetas de los clientes.

4. Sin embargo, se debe evaluar las obligaciones de validación y reporte, para integrar en caso necesario  el almacenamiento, procesamiento y/o transmisión de los datos de las tarjetas.

5. Buscar el asesoramiento de expertos que puedan ayudar con la delimitación del proyecto de certificación.
6. Convertir la seguridad en una parte fundamental de la organización toda vez que los costos por multas son altos y requerirán para seguir operando una certificación, por lo que es mejor certificarse de manera proactiva.

PCI DSS aplica a todo tipo de organizaciones que acepte, transmita o almacene datos de los tarjetahabientes independientemente de su tamaño o número de transacciones, sin embargo los requerimientos se elevan con base a este factor. S21sec certifica a una de cada tres organizaciones en México que aplica al estándar, y provee cursos en distintos niveles para facilitar el proceso.