Se trata de una normativa que es compleja por su extensión, ello hace que el cumplidor de la norma deba tener en cuenta hasta 400 subrequisitos. Además de tener que estar atento a las novedades y actualizaciones de esta…Todo un reto.
ERROR I: Dar por hecho que solo cubre cuestiones técnicas:
Pese a que es una normativa de carácter técnico, los procesos empresariales son los que manejan la mayor parte de los datos de las tarjetas. De ahí la importancia del deber de documentar todos esos procesos que están involucrados en el cobreo de dichas tarjetas de pago. En la mayor parte de los casos, supone todo un reto para las empresas la comprensión por parte de las empresas sobre la protección de los datos de los titulares de las mismas así como tener el conocimiento sobre el cómo protegerlos.
ERROR II: No realizar comprobaciones previas a la auditoría
Una vez que has pasado la auditoría hace un año, creerás que de igual forma puedes pasarla en el presente. Sin embargo, esta se encuentra sujeta a cambios y actualizaciones, además que puede variar el foco de la temática por parte de los auditores. Por ejemplo, tienes la certeza que a nivel de evaluaciones de vulnerabilidades la empresa es robusta pero ¿Y a nivel de gestión? Debes confiar la albor en un tercero, imparcial y con experiencia, que te efectue dicho chequeo.
ERROR III: Dar por hecho que sabes dónde se almacenan los datos de los propietarios de las tarjetas
Una de las temáticas que tiene por objeto, la normativa PCI es la obligación de segmentar la red que se encuentra dentro del entorno de los titulares de las tarjetas. En la mayoría de ocasiones, existen puntos ciegos en dichos sistemas con el consiguiente riesgo de que esos datos salgan fueran de la red, generando una exfiltración de datos ¿Qué puede ocurrir? El robo y la consiguiente comercialización de las tarjetas y sus datos en la DeepWeb (Precio por tarjeta: 5-10 USD). Además de ello, que obtengas un NO CUMPLE.
ERROR IV: Dar por hecho que la base de datos no haya cambiado
Aunque dicho entorno no haya cambiado, ello no significa que estés cumpliendo la normativa. Esto se debe a queen ocasiones se crean tablas temporales para solventar problemas puntuales y luego se dejan en el olvido hasta el momento en el que se efectua la auditoría. Además de suponer un riesgo desde el punto de vista de la seguridad de la información, es un NO CUMPLE.
En SCASSI, llevamos +15 años ayudando a empresas de los sectores involucrados asegurando su correcta implantación y acompañamiento. Si deseas conocer más, contacta con comercio@scassi.com
