PKI y certificados digitales como solución para el cumplimiento de la normativa PCI
Ciberamenazas del sector financiero
Los servicios financieros atraviesan un momento interesante: han pasado ocho años desde la crisis de 2008, lo que ha dado tiempo suficiente para que el mercado se recupere, mientras que la digitalización masiva se ha afianzado con fuerza. Los portales en línea y las aplicaciones móviles son la norma, entre otras muchas innovaciones tecnológicas que se están adoptando en los servicios financieros para responder a las elevadas exigencias del consumidor digital actual. Sin duda, estos cambios aportan mayor comodidad al cliente y mayor rentabilidad a las entidades, pero también conllevan riesgos de ciberseguridad significativamente mayores.
Según el informe 2016 Financial Industry Cybersecurity Research Report de SecurityScorecard, el sector financiero se encuentra en un lugar especialmente vulnerable debido al aumento de los riesgos como consecuencia de la digitalización:
- El 95% de los 20 principales bancos comerciales de EE.UU. (por ingresos) tienen calificaciones de seguridad de red de "C" o peores.
- 1 de cada 5 instituciones financieras utiliza un proveedor de servicios de correo electrónico con vulnerabilidades de seguridad considerables.
- El 75% de los 20 principales bancos comerciales de Estados Unidos (por ingresos) están infectados con malware.
Además del aumento de las vulnerabilidades en el sector financiero, los requisitos de cumplimiento de la industria y los gobiernos, como las normas de seguridad PCI, HIPAA e ISO, son una preocupación constante. Según el estudio de SecurityScorecard, el 30% de las empresas financieras incumplen PCI 3, los requisitos de PCI DSS asociados al uso de protocolos criptográficos sólidos y claves y certificados de confianza.
Importancia de PCI DSS para el sector
PCI DSS es uno de los principales organismos reguladores que supervisan el sector financiero, promulgado para garantizar la seguridad de los datos de los titulares de tarjetas.
Los resultados de seguridad asociados al cumplimiento de la norma PCI abarcan la identificación continua de amenazas y vulnerabilidades, lo que en última instancia contribuye al éxito de las organizaciones que procesan pagos con tarjeta. Las filtraciones de datos pueden provocar la destrucción total de una empresa: el objetivo de la PCI es evitar las pérdidas asociadas a una filtración de datos exitosa.
Como explica Thales e-Security, las consecuencias del incumplimiento de la norma PCI DSS incluyen cuantiosas multas, aumento de las tasas y, potencialmente, la cancelación de la capacidad de procesar tarjetas de crédito.
Por desgracia, establecer un estado operativo seguro para mitigar el peligroso panorama de amenazas actual no es mutuamente excluyente con el cumplimiento de la norma PCI DSS. Las distintas organizaciones financieras tienen que decidir individualmente qué herramientas y controles de seguridad utilizar, así como la infraestructura adecuada para respaldarlos, y esos mecanismos no siempre son directamente paralelos a los objetivos exigidos por la PCI.
La infraestructura declave pública (PKI) y los certificados digitales, por ejemplo, son una solución probada para cumplir los requisitos normativos y proteger los activos sensibles. La infraestructura PKI y los sistemas de gestión de certificados digitales permiten integrar fácilmente tecnología criptográficamente sólida, al tiempo que mejoran significativamente la experiencia del usuario final y mejoran sustancialmente la postura de seguridad de una empresa.
Primeros pasos con PKI y certificados digitales
La PKI utilizada para emitir certificados digitales es una forma eficaz de satisfacer PCI 3, el componente de PCI DSS que exige el uso de criptografía y protocolos de seguridad sólidos para salvaguardar los datos de los titulares de tarjetas, y que sólo se utilicen claves y certificados de confianza. La implantación adecuada y el uso continuado de esta tecnología de seguridad mejoran simultáneamente la postura de seguridad y cumplen los requisitos de conformidad.
Trabajar con un socio de PKI de confianza es una forma de implantar y operar una PKI al tiempo que se emiten certificados digitales de confianza de forma segura sin sobrecargar al equipo de seguridad ni tener la necesidad de encontrar los expertos adecuados. Los servicios gestionados de PKI garantizan que una infraestructura segura permanezca segura, mientras que los profesionales de TI internos pueden trabajar en iniciativas tecnológicas que sirvan directamente a los valores fundamentales de la empresa.
Una PKI gestionada profesionalmente está diseñada para satisfacer las necesidades de seguridad empresarial inmediatas y a largo plazo de una organización que tiene detrás un plan de operaciones sólido y auditable. Una PKI sólida y gestionada puede demostrar las operaciones, quién las ha llevado a cabo y cualquier evento de seguridad que haya tenido lugar en el camino, lo que permite a las empresas tener confianza en su inversión tecnológica sin asignar recursos críticos en demandas administrativas.
La consideración más importante para seleccionar un socio de PKI fiable es el nivel de experiencia y conocimientos en PKI, certificados digitales y requisitos de cumplimiento exclusivos del sector, como PCI.
Pregunte a su posible socio de PKI:
- ¿Es posible trasladar la solución al interior de la empresa en el futuro? En caso afirmativo, ¿cuál es el coste previsto y la complejidad técnica?
- ¿Hay elementos del servicio que no puedan trasladarse? ¿Qué aspectos de la infraestructura se comparten?
- ¿Puedo utilizar mis propias URL para la CRL?
- ¿Se pueden depositar claves privadas de cifrado en mis instalaciones?
CSS está disponible para hablar sobre las preguntas relacionadas con PCI que tenga su organización de seguridad financiera. Nuestros expertos en PKI pueden trabajar con usted para identificar sus vulnerabilidades de seguridad actuales e identificar el mejor enfoque de PKI para su negocio.
Si su organización de seguridad desea obtener más información sobre cómo la PKI y los certificados digitales de confianza pueden proteger los datos confidenciales de los titulares de tarjetas, nuestros expertos están a su disposición. Póngase en contacto con nosotros para hablar de sus necesidades de PKI.
