ISO 27001 y PCI-DSS mejorando la seguridad de pago
ISO 27001
Hace un tiempo existía el temor de realizar pagos con tarjeta online, podía ser infundado, pero nos encontramos de nuevo con la importancia que tiene realizar una revisión de la seguridad relativa a los pagos que se llevan a cabo como en algo tan cotidiano como puede ser las webs de hoteles. La norma ISO 27001 junto a PCI DSS nos ayuda a mejorar la seguridad y evitar estos casos.
En los últimos meses han aparecido noticias nacionales e internacionales que nos informan sobre los diferentes ciberataques en importantes cadenas de hoteles. El último caso conocido ha afectado a Hyatt que advertía de un fallo en su sistema de pagos: la compañía hotelera ha encontrado un malware en sus ordenadores que proceso los datos de pago de sus huéspedes afectando a más de 300 hoteles.
El caso de Hyatt no es el único que ha sucedido en los últimos tiempos, otras grandes compañías hoteleras como Hilton ha reconocido que tienen una brecha en seguridad que ha permitido el robo de datos de las tarjetas de crédito de sus clientes. Son fallos en seguridad casi idénticos que han sufrido otras prestigiosas cadenas como Mandarin Oriental, Starwood o Trump Collectión relacionado con la información de las tarjetas de crédito de sus clientes durante el año 2015.
Las páginas web de reservas hoteleras son una fuente continua de nuevos datos atractivos para los ladrones informáticos, por la cantidad y constante alimentación de las bases de datos de este tipo de establecimiento.
En el momento actual, la información es poder y cuando se trata de datos bancarios, el interés de los piratas informáticos es aún mayor, pero, las técnicas de los hackers se han sofisticado con el paso del tiempo, aunque también se han incrementado los medios de protección y ahora resultan muy eficaces. Se dispone de normas internacionales en materia de seguridad de la información con la que su implementación garantiza la seguridad de los datos, la norma ISO 27001, además de legislaciones que se destinan a la Protección de Datos, éstas establecen medidas de seguridad para ficheros con datos de carácter personal.
Para garantizar la seguridad dentro de un web será necesario establecer diferentes protocolos que garanticen la seguridad de todos los datos almacenados, ya que la seguridad en las transacciones económicas se ha convertido en un activo de un enorme valor económico.
Uno de los protocolos que garantizan la seguridad es el Standard Internacional PCI-DSS (Payment Card Industry-Data Security Standard), que certifica a una organización para que sea eficiente durante el tratamiento de los datos que se relacionan con las cuentas de pago.
¿Qué es PCI DSS?
Desde el año 2006, la misión que persigue la PCI DSS junto a la norma ISO 27001, es incrementar la seguridad de las transacciones que se llevan a cabo con las tarjetas de crédito/debito estableciendo la promoción de la educación y el conocimiento sobre las normas de seguridad. Las organizaciones que han fundado esta organización son American Express, Discover Financial Services, JCB International, MasterCard y Visa.
Las organizaciones deben superar con éxito las auditorias anuales que exigen el estándar PCI DSS y la norma ISO 27001, en las que se realizan:
- Escaneos trimestrales de las vulnerabilidades y la corrección de todas las vulnerabilidades en un nivel medio/alto que puedan aparecer.
- Las evidencias técnicas de que se cumple los 12 requisitos que se encuentran con relación a los protocolos de respuesta que tiene la organización en caso de que se produzca cualquier incidencia y todas las soluciones posibles que se pueden utilizar.
El Jefe de Seguridad de la Dirección de Sistemas de Información nos dice que superar una auditoría es un proceso costoso, ya que mantener la certificación PCI DSS e ISO 27001 conlleva mucho trabajo. Es un trabajo continuo. Cada año aprendemos del anterior, y se han producido grandes cambios que ha provocado que salga a la luz la nueva versión de la norma.
Podemos destacar que este certificado no es una tendencia pasajera, sino que ya se encuentra consolidado en las organizaciones. Muchas grandes empresas como Microsoft o Amazon, e importantes bancos como BBVA, Santander o La Caixa ya cumple con esta normativa en sus servicios de pago, la seguridad nunca es un capricho, sino una necesidad, como se demuestra en multitud de casos.
Entre los principales beneficios que se ofrecen a sus clientes al mantener esta certificación se encuentran:
- La protección de los datos de la tarjeta de los clientes en los hoteles a los que presta servicios.
- El mantenimiento de la confianza de los clientes mediante un mayor nivel de seguridad en sus datos financieros.
- Disponer de un elemento que le diferencie, generando una ventaja competitiva sobre el resto de empresas del mercado.
- Salvaguarda la reputación de marca.
- Disminuir todas las pérdidas financieras y de imagen que se derivan de los riesgos en seguridad.
El director de Sistemas de Información explica la importancia que tiene contar con el estándar PCI DSS e ISO 27001 en una organización tecnológica del sector turístico.
Software ISO 27001
El Software ISOTools Excellence para ISO 27001 para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.