El advenimiento del Internet de las cosas (IoT) ha visto una transformación digital en toda la comunidad empresarial global, con empresas que utilizan cada vez más dispositivos conectados de forma inalámbrica para mejorar su capacidad de recopilar y recopilar información, así como realizar transacciones.

Además, a medida que los dispositivos de hardware como sensores, gadgets, electrodomésticos y otras máquinas que recopilan e intercambian datos a través de Internet continúan proliferando, su uso y despliegue se está cruzando cada vez más hacia el ámbito de los pagos basados en cuentas.

«Los dispositivos IoT se están implementando dentro de un entorno empresarial donde se procesan los pagos, así como más directamente donde se utiliza un dispositivo IoT para aceptar, realizar o autorizar pagos en nombre de un usuario», afirma el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC). «En todos los casos, al considerar un despliegue de dispositivos IoT, la seguridad de los dispositivos IoT y los datos de pago deben considerarse a lo largo del ciclo de vida del dispositivo».

Esencialmente, facilitar la seguridad de los dispositivos IoT requiere que las empresas cumplan con los Estándares de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), un conjunto de requisitos destinados a garantizar que todas las empresas que procesan, almacenan o transmiten información de tarjetas de crédito mantengan un entorno seguro.

Lanzado en 2006 por cuatro grandes compañías de tarjetas de crédito: Visa, MasterCard, Discover y American Express, el PCI DSS tiene como objetivo mejorar la seguridad de los datos de las tarjetas de pago, con el PCI SSC proporcionando estándares integrales y materiales de apoyo, incluidos marcos de especificación, herramientas, mediciones y recursos de soporte para ayudar a las empresas a garantizar la seguridad de la información del titular de la tarjeta.

Como se describe en su informe ‘IoT Security in Payment Environments’, el PCI SCC aconseja que las empresas se hagan las siguientes preguntas clave. ¿Los dispositivos están diseñados teniendo en cuenta la seguridad? ¿Los dispositivos se implementan de forma segura? ¿Se pueden mantener los dispositivos de forma segura hasta el desmantelamiento? ¿Y hay un plan de desmantelamiento para los dispositivos?

» Con la evolución y el desarrollo de las tecnologías inalámbricas que no muestran signos de disminuir, las empresas también deben mantenerse alertas al hecho de que el cumplimiento de PCI está en curso. «

«Al igual que con toda seguridad, la seguridad de IoT está en constante evolución; surgen nuevas amenazas y se descubren nuevas vulnerabilidades», observa el PCI SSC. «Para proteger las redes del riesgo de sistemas IoT inseguros, las empresas deben elegir dispositivos seguros e implementar y mantener de forma segura esos dispositivos hasta que sean desmantelados».

El camino hacia el cumplimiento

A primera vista, cumplir con el PCI DSS parece una tarea desalentadora. Sin embargo, el cumplimiento aporta beneficios significativos para las empresas, especialmente cuando se considera que el incumplimiento puede tener consecuencias graves y a largo plazo.

«El laberinto de estándares y problemas parece mucho para manejar para las grandes organizaciones, y mucho menos para las empresas más pequeñas», reconoce Juliana de Groot, especialista senior en operaciones de marketing de Digital Guardian. «Sin embargo, el cumplimiento es cada vez más importante y puede no ser tan problemático como una empresa puede suponer, especialmente si tiene las herramientas adecuadas».

Según Digital Guardian, adherirse a las recomendaciones que se enumeran a continuación puede ayudar a las empresas a recorrer un largo camino para garantizar el cumplimiento del PCI DSS.

Primero, use y mantenga firewalls. Los firewalls esencialmente bloquean entidades extranjeras o desconocidas que intentan acceder a datos privados. Estos sistemas de prevención son a menudo la primera línea de defensa contra los piratas informáticos, maliciosos o no.

En segundo lugar, implemente las protecciones de contraseña adecuadas. Los enrutadores, módems, sistemas de punto de venta (POS) y otros productos de terceros a menudo vienen con contraseñas genéricas y medidas de seguridad de fácil acceso para el público. Con demasiada frecuencia, las empresas no logran proteger estas vulnerabilidades.

En tercer lugar, proteger los datos del titular de la tarjeta. Los datos de la tarjeta deben estar encriptados con ciertos algoritmos. Estos cifrados se implementan con claves de cifrado, que también deben cifrarse para el cumplimiento.

Cuarto, usar y mantener antivirus. El software antivirus debe ser parcheado y actualizado regularmente. Un proveedor de POS puede emplear medidas antivirus donde no se pueden instalar directamente.

Quinto, restringir el acceso a los datos. Se requiere que los datos del titular de la tarjeta sean estrictamente «necesarios para saber». Todo el personal, ejecutivos y terceros que no necesiten acceso a estos datos no deberían tenerlos.

Sexto, crear identificaciones únicas para el acceso. Las personas con acceso a los datos del titular de la tarjeta deben tener credenciales individuales e identificación para acceder. Los ID únicos crean menos vulnerabilidad y un tiempo de respuesta más rápido en caso de que los datos se vean comprometidos.

Séptimo, crear y mantener registros de acceso. Todas las actividades relacionadas con los datos del titular de la tarjeta y los números de cuenta principales (PAN) requieren una entrada de registro. Quizás el problema de incumplimiento más común es la falta de documentación adecuada.

Por último, escanee y pruebe las vulnerabilidades. Los estándares de cumplimiento involucran varios productos de software, ubicaciones físicas y probablemente algunos empleados. Hay muchas cosas que pueden funcionar mal, quedar desactualizadas o sufrir errores humanos.

«El PCI DSS es la piedra angular del consejo, ya que proporciona el marco necesario para desarrollar un proceso completo de seguridad de datos de tarjetas de pago que abarca la prevención, detección y reacción adecuada a incidentes de seguridad», agrega la Sra. de Groot.

Evolución inalámbrica

Sin duda, las empresas están pasando por una enorme transformación digital con el IoT. Los nuevos dispositivos conectados prometen una eficiencia mejorada, pero también aumentan la superficie de ataque y aumentan el número de rutas de comunicación que se deben monitorear para garantizar el cumplimiento del PCI DSS. Por lo tanto, con la evolución y el desarrollo de las tecnologías inalámbricas que no muestran signos de disminuir, las empresas también deben mantenerse alertas al hecho de que el cumplimiento de PCI está en curso, un proceso que ayuda a prevenir las violaciones de seguridad y el robo de datos de tarjetas de pago en el presente y en el futuro.

Autor: Fraser Tennant