En septiembre del 2006, la Industria de Pago de Tarjetas (PCI por sus siglas en inglés) en conjunto con el Consejo de Estándares de Seguridad lanzaron el Estándar de Seguridad de Información (DSS por sus siglas en inglés) v1.1. Esta norma solicitaba a los asociados de las instituciones financiaras se responsabilizaran de sus propios cumplimientos, así como el aseguramiento de los mismos con los comerciantes y proveedores de servicios abarcando todos los canales de pago, incluso, en sitio, pedido por teléfono y/o correo y comercio electrónico. Algunos meses después, Visa estableció nuevos plazos de cumplimiento para comerciantes de niveles 1 y 2, lo que dio inicio a una reclasificación que desplazó a muchos comerciantes que se encontraban en niveles 3 y 4 al 2. ¡Ahora se encuentran presionados para validar el cumplimiento! ¿Qué provocó esto? En breve, incumplimiento de seguridad de información.
En 2005 las altas pérdidas de información de tarjetas de crédito se volvieron tan comunes que incluso el Washington Post lo llamó "el año de la pérdida de información". Desde entonces, la situación realmente se agravó. Según un artículo del Network World en el 2006, la corredora ChoicePoint "reportó $11.4 millones en cargos relacionados "una vez que mostraron 145,000 estados de cuenta de los clientes. Al tomar en cuenta el costo subsecuente de modificaciones de procesos, la firma de investigación Gartner, estimo el costo a ChoicePoint alrededor de $90 a $13 millones por cuenta.
En el 2007, Wired.com reportó que las pérdidas en la tienda departamental TJX (TJ Maxx y otras) enfrentaron este problema una y otra vez. El proveedor de seguridad de información Progenity calculó pérdidas aproximadas de $1.7 millardos por concepto de violaciones de seguridad en casi 45.7 millones de tarjetas de crédito. En el reporte llamado Cálculo de costo de brechas de seguridad (abril del 2007), Forrester Research Inc., estimó que la falta de seguridad puede costarles a los vendedores por menudeo, entre $90 y 305 por transacción, lo que incluye detección, responsabilidad y notificación, así como pérdida de productividad, oportunidad, costos de restitución, remplazos y posibles multas elevadas.
¿Qué se puede hacer para incrementar el cumplimiento y disminuir las vulnerabilidades en la empresa? Presentamos la solución líder en auditoria y control: Tripwire Enterprise. Permite que las compañías detecten, analicen y la solucionen cambios no autorizados y otras vulnerabilidades que de otro modo hubieran pasado desapercibidas incrementando así, la protección de la información al satisfacer la integridad de los archivos con el monitoreo y cambio del control de requerimientos mencionados en el PCI DSS.
Muchos requerimientos del PCI DSS se concentran en la posibilidad de monitorear y reportar cambios realizados dentro el ambiente de TI. El estándar no sólo requiere que se alcance un estado seguro de información para el dueño de la tarjeta, sino que pueda avalar que el mismo no se modifique con el paso del tiempo.
Las soluciones de configuración y auditoria de Tripwire le asesorarán a validar los requerimientos al:
Permitir el acceso a los recursos computacionales y así la información del portador de la tarjeta se encontrará limitada al mismo
Validar que los parches se presenten de manera apropiada
Alertas de cambios no autorizados a las normas del firewall
Garantizar que no se evadan las políticas de seguridad de la red
Detectar identificaciones de usuarios nuevas, modificadas o eliminadas
