PCI Compliant: ¿Sus API necesitan una certificación PCI DSS? (y cómo esto puede ayudar con LGPD y Open Banking

Letícia Trevisan
Letícia Trevisan
Author
December 5, 2019
7
min reading time

¿Qué es una certificación PCI DSS?

PCI DSS (Payment Card Industry - Data Security Standard) es una norma de seguridad de alto nivel para todo el ecosistema de empresas que registran o procesan datos de tarjetas de crédito y débito, que abarca desde los dispositivos electrónicos hasta las aplicaciones e infraestructuras.

Esta norma fue establecida por el PCI Security Standards Council (PCI SSC), formado por las principales marcas de tarjetas, para hacer más seguro el ecosistema de los pagos electrónicos y garantizar la confianza del cliente compliance .

2305

¿Mis APIs tienen que cumplir con la normativa PCI?

Cualquier empresa que acepte pagos con tarjeta de crédito/débito, procesando o almacenando datos de estas tarjetas, está indicada para tener una certificación PCI DSS. Este escenario es cada vez más común, especialmente para las empresas que participan en sectores como el comercio minorista, los servicios financieros y los proveedores de tecnología.

En el caso de que sus APIs transporten cualquier información relacionada con las tarjetas de pago, entonces es muy importante que usted y los socios técnicos involucrados en el soporte de estas APIs cumplan con los requisitos y tengan una certificación PCI.

¿Por qué es tan importante la certificación PCI?

La gente utiliza cada vez más las tarjetas de crédito y débito (físicas o virtuales) en lugar del dinero en efectivo para realizar los pagos. Estos medios electrónicos fomentan la facilidad de uso no sólo para los consumidores, sino también para los delincuentes.

Mediante el uso de kits de explotación sencillos, los hackers de todo el mundo aprovechan las vulnerabilidades de los sistemas y realizan delitos a gran escala, causando enormes daños y convirtiéndose en un gran riesgo para las empresas. Este riesgo no sólo implica vulnerabilidades externas, sino también amenazas de origen interno. Si se produce una fuga de datos, puede acarrear graves consecuencias como: sanciones, multas, pérdida de confianza de los clientes y de futuras ventas, costes adicionales de compliance , prohibición de procesar pagos con las tarjetas e incluso la quiebra.

Según el informe 2019 Cost of a Data Breach, las filtraciones de datos en 2019 generaron un coste medio de 3,92 millones de dólares cada una para las empresas.Sin una certificación PCI, las empresas no pueden cerrar acuerdos con muchas empresas del ecosistema de pagos. Obtener una certificación PCI significa que se están aplicando prácticas clave de seguridad de datos.

Por lo tanto, contar con una certificación PCI y con socios que cumplan con las normas PCI puede aportar beneficios como

  • Mayor nivel de seguridad de los datos
  • Cualidades diferenciadas con respecto a los competidores
  • Reducción de riesgos
  • Aumento de la confianza de los consumidores
  • Facilidad para convertirse en proveedor de grandes empresas que gestionan pagos con tarjeta
  • Adelantarse a los demás y acortar la preparación para las normativas de privacidad como GDPR, LGPD e incluso Open Banking.
PCI Dss Certified

¿Qué requiere una certificación PCI?

La PCI recomienda buenas prácticas de seguridad de la información y proporciona una metodología clara de lo que debe lograrse.

La certificación PCI busca alcanzar 6 objetivos y, para ello, se han definido 12 requisitos, que se verifican mediante una serie de procedimientos de prueba y compliance , siendo confirmados por una entidad autorizada para realizar la certificación:

Objetivo 1 -Construir y mantener la seguridad de la red y del sistema

  1. Instalación y mantenimiento de una configuración de cortafuegos para proteger los datos de los titulares de las tarjetas
  2. No utilizar los estándares proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad

Objetivo 2 - Proteger los datos de los titulares de las tarjetas

  1. Proteger los datos almacenados del titular de la tarjeta
  1. Encriptación de la transmisión de los datos de los titulares de las tarjetas en redes abiertas y públicas

Objetivo 3 - Mantener un programa de gestión de la vulnerabilidad

  1. Proteger todos los sistemas contra el malware y actualizar regularmente los programas antivirus o software
  1. Desarrollo y mantenimiento de sistemas y aplicaciones seguras

Objetivo 4 - Aplicar medidas estrictas de control de acceso

  1. Restringir el acceso a los datos de los titulares de las tarjetas en función de las necesidades de conocimiento de la empresa
  1. Identificar y autentificar el acceso a los componentes del sistema
  1. Restricción del acceso físico a los datos de los titulares de las tarjetas

Objetivo 5 - Supervisar y probar regularmente las redes

  1. Seguimiento y control de todos los accesos a los recursos de la red y a los datos de los titulares de las tarjetas
  1. Comprobación periódica de los sistemas y procesos de seguridad

Objetivo 6 - Mantener una política de seguridad de la información

  1. Mantener una política que aborde la seguridad de la información para todos los equipos

Estos procedimientos de prueba están relacionados con 4 niveles de seguridad (el nivel 1 es el más alto) en función, principalmente, del volumen de transacciones:

¿Y qué tiene que ver una certificación PCI con el GDPR y la LGPD? ¿Puede ser útil?

"La gente acude a mí y me pregunta: '¿Cómo puedo cumplir con el GDPR?

Yo digo: "Empieza con PCI DSS".-Jeremy King, director del PCI SSC

El Reglamento General de Protección de Datos (RGPD) entró en vigor en la Unión Europea en 2018 y se aplica a todas las empresas que almacenan o procesan datos que identifican a los ciudadanos europeos, proporcionando una serie de derechos para garantizar la ownership, finalidad, consentimiento, transparencia y privacidad de las personas sobre sus datos.

Varios países están desarrollando normativas similares. En Brasil, el congreso nacional está definiendo la aplicación de una normativa similar al GDPR (la LGPD - Lei Geral de Proteção de Dados) en agosto/2020.

Todas las empresas que operan en el Espacio Económico Europeo, independientemente de su país de origen, se exponen a multas de hasta el 4% del volumen de negocios global o 20 millones de euros -lo que sea mayor- e incluso a la suspensión de actividades con la UE.

Compliance con esta normativa plantea retos técnicos y empresariales a las empresas, que deben protegerse de las amenazas y aprovechar las oportunidades que surjan. Sin embargo, aunque expliciten los derechos de los ciudadanos, estas normativas no proporcionan una guía clara sobre cómo cumplirlas.

Aunque el alcance de la protección de datos de la PCI es menor (datos de las tarjetas de pago), estos últimos están incluidos en el ámbito de los datos personales de la LGPD y el GDPR. Además, el proceso de certificación PCI proporciona una metodología definida para que su empresa adquiera la capacidad de mapear y proteger los datos sensibles durante su procesamiento, transmisión y almacenamiento.

Cumplir con la normativa PCI indica que su empresa está al tanto de las prácticas de protección de datos más avanzadas, y se adelanta a la competencia en cuanto a la adaptación al GDPR y la LGPD.

Open Banking

Los bancos centrales de varios países están desarrollando normativas similares a la PSD2 de la Unión Europea, al exigir a los bancos que los datos bancarios y los servicios de pago sean abiertos a través de APIs para que estos puedan ser utilizados por terceras empresas que cuenten con el consentimiento de los usuarios.

El Banco Central de Brasil tiene previsto aplicar una normativa similar a la PSD2 para Open Banking a principios del segundo semestre de 2020.

Esta normativa pretende aumentar la competencia en el sector y ofrece oportunidades para que terceras empresas se integren con los bancos a través de las API y pongan a disposición de los consumidores ofertas y mejores experiencias utilizando estos datos. Estas oportunidades no se limitan a las empresas del sector financiero, sino que también están siendo evaluadas por las grandes empresas minoristas, de telecomunicaciones y de servicios públicos, que están empezando a ofrecer sus propios servicios financieros.

La certificación PCI es un paso esencial para aprovechar las posibilidades de esta normativa en relación con los pagos con tarjeta. Además, se discute la necesidad de una certificación similar a PCI DSS para la protección de datos bancarios. Estar familiarizado con las prácticas exigidas en el PCI DSS acelera enormemente la preparación para desarrollar el negocio basado en Open Banking.

¿Cómo puede Sensedia ayudarle a hacer que sus APIs cumplan la normativa PCI?

Muchas empresas quieren aprovechar las oportunidades y formar parte del ecosistema de pagos con tarjeta. Apoyarse en socios tecnológicos cuyas plataformas ya están adaptadas a los parámetros de la PCI es una forma de reducir costes, disminuir riesgos y evitar las complejidades técnicas que supone adaptarse a una norma de seguridad mundial en constante evolución.

La plataforma API de Sensedia proporciona un entorno que cumple con la normativa PCI (PCI-DSS Nivel 1 - el nivel más alto), con un certificado AOC disponible, WAF, pruebas de penetración y escaneos de vulnerabilidad en una frecuencia superior a la requerida por la certificación.

Dentro de la plataforma, también hay componentes listos para ser añadidos al flujo de APIs como Oauth 2.0, JWT, protecciones contra amenazas, filtrado de IP, encriptación y ofuscación, entre otros.

La plataforma API de Sensedia también cuenta con controles de gobernanza, alertas, cuadros de mando personalizados y registro en tiempo real para prevenir incidentes y acelerar las respuestas a las amenazas.

Sensedia Diagram

Además, Sensedia cuenta con una consultoría especializada en seguridad y funcionamiento de sus APIs, y está considerada como leader en Estrategia de APIs por Forrester, para apoyar a los clientes en el diseño de los mejores modelos y aplicación de las mejores prácticas.

¿Quiere saber más?

Póngase en contacto con nosotros y hable con uno de nuestros expertos.

Inicie su transformación con nosotros

Sensedia está especializada en soluciones de arquitectura basada en eventos, con experiencia desde la creación de estrategias hasta su implementación.

Su arquitectura digital es más integrada, ágil y escalable.

Acelere la entrega de sus iniciativas digitales a través de APIs, Microservicios e Integraciones menos complejas y más eficientes que impulsen su negocio.