PCI DSS (Payment Card Industry Data Security Standard, estándar de seguridad de datos de la industria de tarjetas de pago) es un certificado emitido por el PCI Security Standards Council (Consejo de Normativas de Seguridad PCI) que define los requisitos internacionales de seguridad necesarios para que las empresas del sector de tarjetas de pago y sus proveedores de servicios operen de manera confiable, protegiendo adecuadamente tanto sus sistemas de tecnología como los datos y operaciones de sus clientes.
Los proveedores de servicios de tecnología que atienden este tipo de empresas, como la Plataforma de Edge Computing de Azion, también lo necesitan. Azion ya operaba con una versión anterior de este certificado, el 3.2.1 Nivel 1, pero ahora tenemos el placer de anunciar que hemos obtenido su última versión: PCI DSS v4.0.
La versión PCI DSS v4.0 no es cualquier versión
Esta actualización del certificado es la más importante desde la creación del mismo, 18 años atrás[1], ya que su configuración se adapta a la dinámica de cambios que el mercado ha experimentado durante los últimos 5 años.
Desde 2018, la digitalización las empresas pasa por un proceso de crecimiento y sofisticación sin precedentes y a una velocidad también sin precedentes, debido a factores como la pandemia, la expansión abrupta de nuevas tecnologías como la IA y, de forma especialmente intensa en el sector financiero, la migración del servicio presencial al online.
Con relación a la velocidad de crecimiento e innovación del cibercrimen pasa exactamente lo mismo y es por ello que el PCI Security Standards Council se ha visto en la necesidad de crear un nuevo modelo de certificado que responda adecuadamente a estas circunstancias.
¿Qué novedades importantes presenta el PCI DSS v4.0?
El certificado v4.0 brinda un refinamiento muy significativo en la observación de requisitos para todas las áreas de los sistemas de seguridad[2].
Ejemplos de ello pueden ser la exigencia de mayores controles para los sistemas de autenticación multifactor, una mayor sofisticación de la estructura de las claves de acceso o el aumento de la frecuencia en que debe inspeccionarse el POI (Point of Interaction, punto de interacción) de la empresas certificadas.
Sin embargo, podemos decir que la actualización más importante consiste en que el certificado agrega un nuevo enfoque para ejecutar y testear los controles PCI, además del enfoque tradicional.
Enfoque definido y enfoque personalizado
El enfoque definido
Las versiones anteriores a la 4.0 adoptaban lo que se conoce como enfoque definido, según el cual, las empresas candidatas a obtener el certificado tenían que cumplir una lista específica de requisitos de seguridad (más de 250).
El enfoque personalizado
Como hemos dicho, se trataría de la mayor novedad de la versión 4.0, pues hace posible que cada empresa cree procesos de seguridad fuera de la lista específica del enfoque definido, adaptados a su realidad individual[3].
La empresa puede proponer medidas de seguridad que deberán ser analizadas y validadas por el PCI Security Standards Council, lo que le permitirá desarrollar una gran flexibilidad para adaptar su infraestructura a las condiciones de cambio continuo del mercado. Por ejemplo, al surgimiento constante de nuevas tecnologías.
Una misma empresa puede implementar ambos enfoques, pudiendo aplicar uno u otro a elementos específicos de su entorno, según convenga.
¿Cómo beneficia a tu empresa el operar en una Plataforma de Edge Computing como la de Azion con certificado PCI DSS v4.0?
El compliance con el PCI DSS v4.0 se extiende a todas nuestras soluciones edge y a los datos de clientes procesados y almacenados en cada una de nuestras edge locations.
Que esos datos estén en nuestra red de edge significa que estarán cerca de tu usuario final, lo que también quiere decir que:
- Se procesarán con latencia ultrabaja, pues no necesitarán viajar a tu servidor de origen ni van a sobrecargarlo, manteniendo tu proceso de pago altamente eficiente y mejorando con ello la experiencia de cliente.
- Al mantener tus datos en el edge, reducirás los altos costos asociados a servicios de cloud.
- En caso de ciberataque, la edge location más cercana a su punto de partida y que pueda interceptarlo con mayor eficiencia se encarga de detenerlo, de modo que las ciberamenazas se neutralizan siempre lejos de tu infraestructura de origen. Esta es una característica básica de una plataforma de edge computing, pero en el caso de Azion también dispones de un stack de ciberseguridad completo y específicamente creado para el edge, que protege de las amenazas más avanzadas.
- Procesar los datos cerca del usuario final también significa que puedes adaptar fácilmente tu servicio a las normas de compliance de cada región del planeta en la que operes.
Conclusión
En definitiva, todo ello significa garantizar que el procesamiento y almacenado de datos de tarjetas bancarias sea extremadamente ágil y seguro, tanto para nuestros clientes directos como para cualquier persona que tenga contacto con los servicios de Azion.
¿Quieres conocer más detalles sobre la certificación PCI DCC 4.0 de Azion y sobre cómo esta puede beneficiar a tu empresa? Conversa directamente con uno de nuestros experts.
Referencias
[1] Business Leaders, Here’s What You Need To Know About PCI DSS 4.0 | Forbes
[2] First Look at PCI DSS v4.0 | PCI Security Standards Council
[3] Guía Rápida de Referencia de PCI DSS v4.0 | PCI Security Standards Council
