Con las recientes violaciones de datos alrededor del mundo que pone la tarjeta de crédito y otra información personal en peligro de miles de clientes, todo el mundo está cada vez más preocupados por cómo las empresas manejan sus datos confidenciales. Como propietario de un negocio, si usted tiene una cuenta de comerciante para procesar transacciones de tarjetas de crédito, tú tienes la obligación contractual de proteger información de tarjetas de crédito de tus clientes con seguridad de base de datos. Así es, si te fijas en las letras pequeñas del contrato que firmaste, es probable que señale que tu empresa deba cumplir con PCI según expertos de auditoría de base de datos de International Institute of Cyber Security.
Con ayuda de profesores de capacitación de seguridad de base de datos, a continuación se presentan 5 consejos que tu empresa puede seguir para asegurarse de que estas manejando la información de la cuenta de tarjeta de crédito correctamente:
1. Use sólo equipos y software aprobados
Tanto si utiliza una terminal de punto de venta o swiper conectada a una computadora o un teléfono móvil que ejecuta el software de procesamiento de pagos, tiene que estar seguro de que todo el hardware y el software está cumpliendo con PCI acuerdo a expertos de seguridad de base de datos. Si bien se podría pensar que cualquier cosa disponible para la venta es correcto utilizar, por desgracia, ese no es el caso. Hay muchas aplicaciones y lectores de tarjetas que tienen agujeros y vulnerabilidades de seguridad que los hacen menos que ideal. Para proteger a sus clientes y su negocio, asegúrese de utilizar únicamente soluciones aprobadas explican expertos de auditoría de base de datos. Puede encontrar una lista de proveedores aprobados en el sitio web de PCI DSS.
2. Use sólo los proveedores aprobados
Si no desea instalar y ejecutar el software de procesamiento de tarjetas de crédito usted mismo, puede utilizar un proveedor de servicios para gestionar el procesamiento de tarjetas de crédito y cuentas de almacenamiento de tarjeta de crédito para usted. Estos proveedores de servicios deben someterse a pruebas exhaustivas para asegurarse de que la confianza que ha depositado en ellos sea merecida. Como parte de su cumplimiento de PCI, usted está obligado a utilizar sólo los proveedores con seguridad de base de datos y quien hace regularmente una auditoría de base de datos.
3. Nunca almacene datos electrónicos o el número de seguridad de la tarjeta en cualquier forma.
Si bien es posible que tenga una razón de negocios para almacenar información de tarjetas de crédito, las regulaciones el procesamiento prohíben específicamente el almacenamiento de código de seguridad de una tarjeta o cualquier datos contenida en la banda magnética en la parte posterior de una tarjeta de crédito.
El número de seguridad de la tarjeta, llamada por muchos acrónimos incluyendo CVV2, CID, y CSC, es el número de tres dígitos en la parte posterior de Visa / MasterCard / Discover o el número de 4 dígitos en la parte frontal de las tarjetas American Express. Está diseñado para proporcionar una manera en que los comerciantes puedan saber si un cliente autoriza una transacción por teléfono o a través de Internet y en realidad tiene la tarjeta en su poder. Este enfoque sólo funciona si el código de seguridad nunca se almacena con el número de la tarjeta según los profesores de capacitación de seguridad de base de datos quien trabajan en International Institute of Cyber Security IICS.
Los datos de seguimiento almacenados en la banda magnética en la parte posterior de la tarjeta también contienen información sobre la cuenta que no aparece en la tarjeta. Estos datos ayudan junto con la firma de las operaciones a aseguran que las tarjetas de crédito no puedan ser falsificados fácilmente.
Es evidente que no se debe almacenar ni los códigos de seguridad ni otros datos a propósito. Sin embargo, es necesario asegurarse de que no se almacenen sin darse cuenta también y por eso deben consultar con los expertos de auditoría de base de datos.
4. Asegúrate de que todo el almacenamiento electrónico de los números de cuenta de tarjetas de crédito está encriptado.
Hay situaciones en las que deseas almacenar números de tarjetas de crédito para mantenerlos, por ejemplo, la prueba de las autorizaciones escritas para los pagos de pedidos por correo o autorizaciones de pagos recurrentes. Si se mantienen documentos en papel que contengan números de tarjetas de crédito, asegúrate de que siempre están encerrados en un lugar seguro (como un cajón de seguridad o de archivo) cuando no estén en uso.
El almacenamiento electrónico de números de tarjetas de crédito también es común si, por ejemplo, procesas transacciones recurrentes o repetidas. Si haces esto, es necesario asegurarse de que nunca se almacenan estos archivos sin seguridad de base de datos. La capacitación de seguridad de base de datos dice que es necesario asegurarse de que cualquier almacenamiento electrónico sea encriptado mediante un algoritmo de cifrado robusto.
Hay muchos proveedores de servicios de seguridad de base de datos que ofrecen almacenamiento seguro, ya sea como un servicio independiente o como parte de un paquete de procesamiento de pagos. Estos servicios suelen proporcionarte un “token” para un número de tarjeta que almacenan. Puedes almacenar el token en cualquier archivo sin garantía. Cuando esté listo para procesar un pago, sólo tienes que enviar el proveedor de servicios del token y se recupera el número completo de la tarjeta con el único propósito de procesar el pago. Estos proveedores hacen auditoría de base de datos para asegurar datos.
5. Asegúrate de que las grabaciones telefónicas que contienen números de cuenta de tarjetas de crédito se almacenen cifrados.
Muchas empresas que toman pedidos por teléfono y graban las llamadas tanto para monitorear la calidad del servicio como para mantener la prueba de las autorizaciones de pago. Si los almacenas digitalmente, ya que muchos sistemas de VoIP, se necesitan cifrar inmediatamente (o tan pronto como sea práctico), y almacenarlos en un directorio protegido con muchas seguridad de bases de daos y deben hacer auditoría de base de datos regularmente.
Simplemente siguiendo estos 5 mejores prácticas irás en buen camino hacia el cumplimiento de sus requisitos contractuales para proteger la información de las cuentas de tarjetas de crédito.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad