1

INFORME 2011 DE VERIZON SOBRE CUMPLIMIENTO DEL SECTOR DE LAS TARJETAS DE PAGO: RESUMEN EJECUTIVOUn estudio de los equipos de inteligencia RISK y de PCI de Verizon.

INTRODUCCIÓNNo existe ningún campo del conocimiento humano que haya surgido en un estado de plena madurez. Desde la construcción de viviendas hasta los primeros vuelos, todas las iniciativas que emprendemos pasan por un proceso de evolución prolongado y muchas veces arduo. Las ideas nuevas se sostienen sobre las anteriores en un intento de alcanzar la perfección a lo largo de los años. Así, la medicina de la época victoriana en Gran Bretaña que se consideraba la cúspide de la ciencia, se ha ido abandonando con el tiempo. A medida que avanza el conocimiento las prácticas se transforman.

Esto es especialmente cierto en el campo de la seguridad de la información. Esta profesión, tal y como la concebimos hoy en día, no ha existido durante tanto tiempo como otros campos más establecidos. Mientras que hemos tenido mucho tiempo para acostumbrarnos al papel que los médicos, los abogados y los arquitectos juegan en la sociedad, los profesionales de la seguridad de la información son casi unos recién llegados. Hace solo diez años, muy pocos conocían la función de un director de cumplimiento y el cargo ni siquiera existía en la mayoría de las organizaciones. No obstante, aunque lo más probable es que la seguridad de la información no haya alcanzado su plena madurez, tampoco se encuentra en su infancia.

La seguridad de la información tiene dos funciones claras: ayudar a las entidades —ya sean personas, empresas o gobiernos— a proteger sus propios secretos y ayudar a las entidades a proteger los secretos de otras entidades. Lo primero ocurre naturalmente, ya que todos nos sentimos inclinados a proteger nuestros secretos. Lo segundo, no obstante, no es una tendencia natural. Por este motivo, a veces es necesario crear organismos reguladores que garanticen la protección de este tipo de información.

Hace seis años y con el fin de combatir el incremento en las brechas en tarjetas de pago y el fraude que las acompaña, las marcas1 de tarjetas más importantes se unieron para crear el Consejo de normas de seguridad del sector de las tarjetas de pago (Payment Card Industry Security Standards Council o PCI SSC), y redactar la norma de seguridad de los datos del sector de las tarjetas de pago (PCI DSS). La PCI DSS quiere fomentar y reforzar la seguridad de los datos de los titulares de tarjetas de pago y facilitar la adopción generalizada de las mismas medidas de seguridad en todo el mundo. El PCI SSC y sus socios fundadores son los encargados de gestionar la norma. Todas las organizaciones que acepten, adquieran, transmitan, procesen o almacenen datos de tarjetas tienen obligación de protegerlos cumpliendo los requisitos mínimos que establece la PCI DSS. Además tienen que demostrar tal cumplimiento y comunicar su nivel de cumplimiento todos los años.

En otras palabras, el cumplimiento es un proceso dinámico y no un acontecimiento estático. El PCI SSC entiende la naturaleza cambiante de la seguridad y la tecnología, por lo que sus estatutos estipulan que la norma tiene que adaptarse a los cambios en el sector. Según avance nuestro entendimiento de los principios de garantía, gestión del riesgo y gobernabilidad de la seguridad de la información, también evolucionarán los métodos que utilizamos para proteger los datos confidenciales.

No obstante hay que señalar que no todo el mundo acepta el valor intrínseco de la norma PCI. Aunque muchos piensan que es un paso importante a la hora de proteger los datos confidenciales, otros se muestran escépticos o claramente críticos sobre su utilidad. Estos últimos aducen que es un desperdicio de recursos, que es demasiado vaga, que el baremo se ha puesto demasiado alto o demasiado bajo o que su eficacia no puede medirse, entre otras objeciones.

1 Las marcas de tarjetas de pago que crearon el PCI SSC son: American Express, Discover Financial Services, JCB International, MasterCard Worldwide, Visa Europe y Visa Inc.

La seguridad de la información tiene dos

funciones claras: ayudar a las entidades —ya sean

personas, empresas o gobiernos— a proteger sus propios secretos y ayudar a las entidades a proteger los

secretos de otras entidades.

2

No es posible confirmar o refutar de forma concluyente estos dos puntos de vista tan opuestos. Lo que sí podemos hacer es proporcionar datos que ayuden a los interesados a juzgar la norma por sí mismos. Para ello, este informe analiza los resultados de las evaluaciones de PCI DSS realizadas por nuestros asesores de seguridad cualificados (QSA) durante el año pasado. El informe examina los esfuerzos de varias organizaciones en distintas partes del mundo por mantener el cumplimiento PCI. También intenta explicar por qué algunas empresas tienen más éxito que otras en este sentido y las áreas que presentan mayores dificultades.

Esperamos que esta información y la discusión que la sigue ayuden a las organizaciones a preparar sus propias estrategias de cumplimiento. Ya se trate de crear un programa de cumplimiento, mejorar uno existente o mantener un programa que ya haya demostrado su eficacia, cualquier empresa puede beneficiarse de conocer la situación actual del sector y las dificultades más comunes a las que se enfrentan otras organizaciones. Por último, esperamos que el informe contribuya a crear un entorno más seguro para las tarjetas de pago.

RESUMEN EJECUTIVOEste informe analiza los resultados de las evaluaciones de la norma de seguridad de los datos del sector de las tarjetas de pago (PCI DSS) llevadas a cabo por los asesores de seguridad cualificados (QSA) de Verizon. El informe describe la situación del cumplimiento con la DSS y explica los requisitos que se cumplen con mayor o menor frecuencia durante el proceso de evaluación. Finalmente, combina los datos de la evaluación de PCI con los resultados de la investigación del equipo de respuesta de investigación, o IR, de Verizon para dar al análisis del proceso de conformidad un enfoque centrado en el riesgo. La edición de este año contiene una sección nueva que estudia si existe una relación entre las prácticas de una organización y sus calificaciones iniciales de cumplimiento.

Solo el 21% de las organizaciones cumplía con la norma en la fecha de su informe inicial de cumplimiento o IROC, una cifra similar a la del año pasado. Este dato es interesante, ya que la mayoría de ellas habían sido validadas durante la evaluación anterior. ¿Qué causa esta erosión en el curso del año?

También de forma similar al año pasado, durante la etapa del informe inicial, las organizaciones pasan con éxito el 78% de las pruebas como media, con algunas variaciones en las calificaciones de rendimiento. Por ejemplo, cerca del 20 por ciento de las empresas cumplían menos de la mitad de los requisitos DSS, mientras que el 60 por ciento superaba el 80 por ciento.

Los requisitos cuyo cumplimiento presenta mayores dificultades son el número 3 (proteger los datos del titular de la tarjeta), el 10 (hacer un seguimiento y supervisar el acceso), el 11 (someter a pruebas periódicas a los sistemas y procesos) y el 12 (mantener las políticas de seguridad).

Los mayores niveles de implementación se observan en los requisitos 4 (cifrar las transmisiones en las redes públicas), 5 (utilizar y actualizar programas antivirus), 7 (restringir el acceso a la información) y 9 (limitar el acceso físico).

Parece que las organizaciones no priorizan sus esfuerzos de cumplimiento según el enfoque priorizado de PCI DSS publicado por el consejo y además se observa un descenso con respecto al año pasado.

Un miniestudio que compara las prácticas de gobernabilidad con la calificación inicial sugiere que la forma en que una organización aborda el cumplimiento influye de forma significativa en su éxito.

Al igual que en años anteriores, las organizaciones que no cumplían con la norma tenían muchas más probabilidades de sufrir una brecha en los datos que el grupo normal de clientes PCI.

El análisis de las amenazas que comprometen la seguridad de los datos con más frecuencia muestra que éstas se encuentran dentro del marco de competencia de la norma PCI DSS. Además de esto, existen varios niveles de control para cada una de ellas.

3

RESULTADOS DE LA EVALUACIÓN GENERALEn el 21 por ciento de las evaluaciones efectuadas por los asesores de seguridad de Verizon, la empresa cumplía con la norma al finalizar el informe IROC. Esta cifra se sitúa a un solo punto por debajo del informe del año pasado y desde un punto de vista práctico puede considerarse al mismo nivel. Esta falta de progreso resulta un poco decepcionante, ya que muchos observadores esperaban una mejora generalizada en el cumplimiento a medida que la concienciación sobre la PCI DSS se difundiera en el sector. Desde otra perspectiva, esto significa que el 79 por ciento de las organizaciones no estaban lo suficientemente preparadas para la evaluación inicial.

Habiendo establecido que solo el 21 por ciento “había aprobado el examen”, es decir, había cumplido con los requisitos en la fecha del informe IROC, lo siguiente fue determinar la calificación que consiguieron, en otras palabras, el porcentaje de los requisitos que cumplían. Como media, las organizaciones cumplían el 78 por ciento de todas las pruebas definidas en la DSS en el momento del IROC. Esto representa un descenso del tres por ciento con respecto al último informe, pero esto es solo una diferencia nominal. La mayoría de las organizaciones han tenido varias oportunidades de familiarizarse con el proceso de evaluación PCI y sería lógico que pudieran cumplir los requisitos año tras año. ¿Por qué no lo hacen?

No existe una respuesta clara y evidente, aunque se pueden deducir varias posibilidades de las estadísticas. La más obvia es que el cumplimiento no es una cuestión sencilla. PCI DSS no es un grupo de controles simples y está claro que no son una parte inherente de la mayoría de los programas de seguridad. Aunque algunas de estas empresas tienen como excusa que es la primera vez que intentan cumplir con la norma, está claro que muchas aun no dominan todos sus aspectos. Por lo tanto, el punto de referencia que impone la PCI DSS no puede ser el mismo que fijarían las organizaciones mismas. La mayoría de las empresas necesitan implementar prácticas nuevas o mantener las que ya tienen. También hay que analizar si estas prácticas son las correctas, pero ese aspecto lo estudiaremos en la sección sobre datos de respuesta de investigación de este mismo informe.

El exceso de confianza en el proceso de PCI es el otro talón de Aquiles de una gran cantidad de comercios y proveedores de servicios. Muchas organizaciones piensan que porque el año anterior alcanzaron el cumplimiento gracias a un gran esfuerzo, este año les resultará muy sencillo conseguirlo. Este exceso de confianza puede resultar caro. Cuando el asesor de seguridad cualificado llega a las oficinas, solo un quinto de las empresas cumplen con la norma, aunque se les dé tiempo extra entre esta visita y la finalización del IROC.

La complacencia y la fatiga son otros dos obstáculos que dificultan el mantenimiento del cumplimiento año tras año. Demasiadas empresas piensan que lo que era suficiente el año pasado tiene que ser suficiente en años sucesivos. El problema es que hay muchas cosas que pueden pasarse por alto, a no ser que alguien se encargue de vigilar el proceso, por ejemplo, reuniendo documentación y aprobando los servicios que pueden pasar el cortafuegos. Uno de los principales enemigos de los profesionales de la seguridad y el cumplimiento será siempre la fatiga, ya que la batalla por proteger la organización es interminable. A la hora de decidir hacia donde encauzar sus esfuerzos, muchos se conforman con que las cosas se hagan, en lugar de hacerlas bien o de la forma que exige la norma. Puede que la organización se muestre más consciente mientras el asesor de seguridad se encuentra en sus oficinas, para después dejar que una parte importante de las prácticas necesarias se erosionen con el tiempo.

78%

22%

21% cumple

79%

no cumple

Figura 1. Porcentaje de organizaciones que cumplen la norma a la fecha del IROC.

Datos 2008-09 vs. PCIR 2010

19%

81%

78% se cumple

22%

no se cumple

Figura 2. Porcentaje de procedimientos de pruebas que cumplen la norma a la fecha del IROC.

Datos 2008-09 vs. PCIR 2010

4

Existen otros factores que aumentan la dificultad, como son el personal disponible, los recursos, la voluntad corporativa y la complejidad. Es raro encontrar un departamento de seguridad o TI que cuente con el personal necesario; muchas organizaciones no saben el nivel de personal que necesitan o no han encontrado personas con los conocimientos necesarios para cubrir los puestos que tienen. La seguridad —y en consecuencia el cumplimiento— todavía se considera un lastre en la economía de la empresa, en lugar de verla como parte integral de los negocios. Esto hace que sea más difícil conseguir los

recursos que se necesitan para llevar a cabo correctamente las tareas de cumplimiento y seguridad. Muy pocas empresas cuentan con un gerente o director a cargo de las labores de cumplimiento y tampoco tienen una persona bien informada entre los ejecutivos que pueda ofrecer asistencia y asesoramiento en los proyectos. Si a esto se añade la complejidad de la norma PCI —con más de 200 requisitos que hay que cumplir íntegramente— el resultado es una situación realmente compleja.

Estos datos son especialmente preocupantes debido a que las normas de evaluación del cumplimiento van a volverse más y más estrictas con el tiempo. El consejo del PCI sigue clarificando y guiando la interpretación de las normas, y con frecuencia redefine las prácticas aceptables y las hace más específicas. Lo

que se consideraba aceptable para la evaluación de un año no es garantía de cumplimiento al año siguiente si las pautas a seguir han experimentado cualquier cambio. Esto se hará especialmente evidente a partir de enero de 2012 cuando empiecen a aplicarse los requisitos de la norma PCI DSS 2.0.

Todo esto supone problemas muy diversos dentro de las organizaciones y soluciones muy distintas para abordarlos. Una tarea fundamental es entender la posición y los retos particulares de la empresa con respecto al cumplimiento o validación. Para contribuir a aclarar la situación, vamos a analizar con más detenimiento el cumplimiento de los 12 requisitos que especifica la PCI DSS.

Si a esto se añade la complejidad de la norma PCI —con más de 200 requisitos que hay que cumplir íntegramente— el resultado es una situación realmente compleja.

37%

50-59% 0-9%

5%

60-69% 10-19%

2% 2%

70-79% 20-29%

12%

80-89% 30-39%

4%2%

90-99% 40-49%100%

21%

4% 5%7%

Porcentaje de pruebas cumplidas a la fecha del IROC

Porc

enta

je d

e org

aniz

acio

nes

Figura 3. Porcentaje de procedimientos de pruebas que cumplen la norma a la fecha del IROC.

5

COMPARACIÓN CON LAS EVALUACIONES DE IRUno de los argumentos más frecuentes de los escépticos es que no existe suficiente evidencia de la eficacia de la PCI DSS. Lo ideal sería aislar a las organizaciones en un laboratorio y comparar las probabilidades de una brecha para una organización que cumple con PCI en comparación con un grupo de control que no la cumple. Como esto es imposible, hemos optado por la mejor opción a nuestro alcance.

Aunque no son exhaustivas ni controladas, las evaluaciones llevadas a cabo por los equipos de IR (respuesta de investigación) y PCI de Verizon permiten comparar organizaciones cuyos resultados de cumplimiento y seguridad se conocen, aunque sea parcialmente. Al concluir el proyecto forense, el investigador jefe efectúa una evaluación de los requisitos de la PCI DSS y comunica los resultados a las marcas de tarjetas de pago relevantes.

Es importante tener en cuenta que el equipo de respuesta de investigación toma una decisión binaria en el nivel superior de cada requisito PCI. Esto quiere decir que en lugar de analizar específicamente los distintos niveles del requisito —1.1, 1.2, etc.— como haría un asesor de seguridad cualificado (QSA), el investigador forense verifica si el requisito número 1 se cumple o no. En cierto modo el investigador forense hace lo contrario que haría un QSA en la misma situación, ya que lo que quiere es probar un negativo en lugar de validar un positivo. En otras palabras, quiere confirmar que el requisito no se cumplía en el momento de la brecha, en lugar de que se cumple en el momento de la auditoría. Debido a que esta pseudoevaluación PCI es menos estricta y más subjetiva que una evaluación PCI normal, existe la posibilidad de que los datos de IR resulten en un panorama más optimista del cumplimiento de cada requisito por parte de la entidad afectada.

La tabla 3 muestra los resultados de cumplimiento de la PCI DSS para dos grupos de organizaciones. El primero contiene la misma muestra de clientes de PCI de la que se habla en el informe (los resultados reflejan los de la tabla 1). El segundo lo forman organizaciones que han sufrido una brecha confirmada investigada por el equipo de IR en 2010.

Tabla 3. Porcentaje de organizaciones que cumplen los requisitos de la PCI DSS. Los datos de IR se basan en el análisis posterior a la brecha; los datos de PCI se basan en las evaluaciones de los QSA a la fecha del IROC.

Requisito de la PCI DSS

Datos de PCI Datos de IR

2008-2009 2010 2008-2009 2010

1:

Instalar y mantener una configuración de cortafuegos para proteger los datos. 46% 44% 32% 18%

2:

No utilizar las contraseñas y otros parámetros de seguridad automáticos de los proveedores de los equipos. 48% 56% 41% 33%

3: Proteger los datos almacenados. 43% 42% 19% 21%

4:

Cifrar la transmisión de los datos de los titulares de las tarjetas y otra información confidencial en toda la red pública. 63% 72% 77% 89%

5: Emplear y actualizar con regularidad los programas antivirus. 70% 64% 58% 47%

6: Crear y mantener sistemas y aplicaciones seguras. 48% 53% 12% 19%

7: Restringir el acceso a los datos según necesidad. 69% 75% 27% 33%

8:

Asignar un identificador exclusivo a cada persona con acceso a sistemas informáticos. 44% 47% 26% 26%

9:

Restringir el acceso físico a los datos de los titulares de las tarjetas. 59% 55% 49% 65%

10:

Efectuar un seguimiento y vigilar el acceso a los recursos de la red y a los datos de los titulares de las tarjetas. 39% 52% 15% 11%

11:

Someter a prueba los sistemas y procesos de seguridad con regularidad. 38% 37% 19% 19%

12: Mantener normas sobre la seguridad de la información. 44% 39% 25% 16%

Los tres valores más bajos aparecen en rojo y los tres más altos en negrita.

6

.

La figura 5 presenta los mismos datos de la tabla 3, pero el mensaje es mucho más claro: los clientes de IR cumplen con los requisitos de la PCI DSS con menos frecuencia que los clientes de PCI. En otras palabras: las empresas que caen víctima de una brecha presentan un nivel de cumplimiento inferior al del grupo normal2 de organizaciones. Esto se confirma en todos los requisitos con la excepción del 4 (transmisiones cifradas) y 9 (seguridad física). Como explicaremos en la sección siguiente, según nuestras observaciones, las técnicas de intromisión en los datos que cruzan las redes públicas no son una de las amenazas más frecuentes, siendo la más común la manipulación física de los datos de los titulares de tarjetas.

Aunque la disparidad entre los grupos fluctúa dependiendo del requisito, en general, los clientes de PCI obtuvieron unas calificaciones superiores en un 50 por ciento a las de las víctimas de una brecha3. Por lo tanto, aunque no se puede decir que lo hayamos demostrado de forma definitiva, los resultados sugieren que si una organización quiere evitar brechas lo mejor es intentar cumplir con la PCI DSS en lugar de rechazarla de plano.

CONCLUSIONES Y RECOMENDACIONESQueremos reiterar que nuestra intención es que los datos del informe ofrezcan una perspectiva más precisa de la situación actual del cumplimiento en el sector de las tarjetas de pago. Además pensamos que le ayudará a determinar el lugar que su organización ocupa en el panorama general y le servirá para alcanzar sus objetivos de cumplimiento. Aunque no hay que olvidar que no existe una fórmula que garantice el éxito en todas las evaluaciones y proyectos relacionados con la PCI DSS ni un solo método o proceso capaz de mejorar la seguridad en todos los casos, pensamos que este informe ha vuelto a demostrar que sí existen algunas prácticas comunes, adoptadas por las organizaciones de más éxito, que apuntan a la dirección a seguir cuando se desea obtener y mantener el cumplimiento. Como cualquier otra cosa en la vida, muchas de ellas son cuestión de sentido común, pero por motivos muy variados se olvidan entre las muchas preocupaciones diarias de una empresa. Como ya apuntamos, los problemas con los que se han encontrado nuestros asesores de seguridad son en gran parte los mismos que se descubrieron al elaborar el informe del año pasado. Por este motivo, no creímos necesario cambiar excesivamente nuestras recomendaciones. Lo cierto es que la sección anterior ya sugiere que este año también dan en el blanco. Aunque se ofrecen algunas recomendaciones nuevas basadas en los datos recopilados, también se incluyen las de años anteriores, ya que son tan relevantes hoy como lo eran antes. Estas son nuestras recomendaciones.

2 La palabra “normal” no se utiliza aquí en el sentido estadístico. Simplemente se refiere al hecho de que el grupo de clientes de los servicios de PCI representan a organizaciones sin características atípicas, aparte de que todas ellas han empleado nuestros servicios de evaluación de PCI.

3 Debe tenerse en cuenta que estos resultados representan un IROC. La mayoría de las organizaciones en el conjunto de datos de PCI solucionaron las deficiencias mencionadas y consiguieron la validación de cumplimiento. En este sentido, se podría decir que la diferencia entre los conjuntos de datos de IR y de PCI es aún mayor.

Figura 5. Porcentaje de organizaciones que cumplen los requisitos de la PCI DSS. Los datos de IR se basan en el análisis posterior a la brecha; los datos de PCI se basan en las evaluaciones de los QSA a la fecha del IROC.

100%

90%

80%

70%

60%

50%

40%

30%

20%

10%

0%

Datos de PCI

Datos de IR

R1 R4 R7 R10 R12R5 R8 R11R3 R6 R9R2

Requisito de la PCI DSS

Porc

enta

je d

e org

aniz

acio

nes

7

Designe a un promotor de los esfuerzos de PCI.

Como ya hemos dicho de muchas formas distintas, el secreto para mantener el cumplimiento es en gran medida tratarlo como una actividad habitual más. Para conseguirlo, es esencial que toda la organización comparta la misma mentalidad y esta integración tiene que empezar por la directiva. Además, hay menos probabilidades de éxito si no existe una persona que abogue por ello dentro de la empresa. Esta persona tiene que tener cierto poder y emplear su influencia para asegurarse de que las cosas se hagan debidamente y que todos los empleados conozcan con exactitud sus funciones. En esencia, la mayoría de las organizaciones requieren un giro cultural que integre la seguridad y el cumplimiento a todos los niveles y para que esta ardua tarea tenga éxito se necesita un promotor.

Cuidado con las autovalidaciones.

Una de las tendencias emergentes dentro del espacio PCI es que cada vez más comercios de nivel 1 y 2 deciden autovalidarse, es decir, evaluarse a sí mismos. Para poder elegir esta opción, la organización tiene que enviar empleados al curso de formación de asesor de seguridad interno o ISA. Aunque el Consejo ha aprobado este método de validación y se considera una práctica legítima, presenta ciertos escollos que es importante evitar. En primer lugar, hay que sopesar detenidamente la elección de la persona que actuará como ISA dentro de la empresa. Debido a que los conocimientos, destrezas y certificación para un ISA no son tan exigentes como para un QSA, existe el peligro de que la persona que valida el cumplimiento de la empresa no esté cualificada para ello. Esto puede conducir a incidentes de seguridad y a responsabilidades civiles. Por este motivo, como mínimo, una organización responsable encargará la validación del alcance a un tercero independiente. Por otro lado, el empleado escogido puede sentirse presionado por la gerencia para que confirme la validez del programa de cumplimiento.

Sea coherente con la interpretación e implementación de los test de penetración y los escaneos de vulnerabilidades.

El requisito de test de penetración tiene más de tres años, pero muchos clientes todavía no entienden sus implicaciones. El requisito indica que estas pruebas tienen que llevarse a cabo una vez al año como mínimo o después de un cambio importante en la red o el sistema, como por ejemplo actualizaciones del OS, cambios en los códigos de aplicaciones web y otros similares. No obstante, muchas empresas no siguen estas recomendaciones. Por ejemplo, la prueba puede hacerse una vez al año, pero no se repite cuando se efectúa un cambio. O, lo que ocurre con más frecuencia, la prueba se hace pero no se valida su alcance; como consecuencia, hay que repetirla con los sistemas que la necesitan, con la consiguiente pérdida de tiempo y dinero. Pero quizás el problema más frecuente sea que la prueba o exploración se posterga y se hace en el último minuto de la evaluación. Lo que ocurre en estos casos es que se encuentran 100 o 200 problemas que hay que remediar y no queda tiempo para hacerlo. Esto hace que se retrase el informe ROC y se supere la fecha límite.

Tenga cuidado con la versión 2.0 de PCI DSS o por lo menos prepárese.

Esta recomendación se aleja un poco de las demás, en el sentido de que solemos basarnos en los datos que hemos analizado y como no existe ningún informe 2.0 entre nuestras evaluaciones nos hemos tenido que salir de la norma. No obstante, debido a que las estadísticas han cambiado poco desde el año pasado, pensamos que es necesario lanzar una advertencia. Aunque “tener cuidado” puede resultar un poco melodramático, “prepararse” sí describe con exactitud lo que debe hacer una organización a la hora de abordar la nueva versión. La norma 2.0 será más estricta que sus predecesoras, especialmente porque exigirá más evidencias de cumplimiento. Muchas afirmaciones que se hubieran aceptado sin cuestionarlas ahora requieren documentación y evidencia detallada. En resumen puede decirse que el baremo está mucho más alto en esta nueva versión y la decisión más inteligente que puede tomar un director de seguridad de la información es prepararse ahora en lugar de limitarse a mantener el statu quo.

ACERCA DE VERIZON PCI SERVICESLa ausencia de inversiones en esfuerzos de conformidad con el PCI o la falta de entendimiento de las normas del sector en lo que atañe a cada empresa pueden resultar caros en muchas más formas de las que se podría imaginar. La empresa incumplidora puede enfrentarse a multas y sanciones, a litigaciones y a los gastos de tener que reemitir las tarjetas de crédito comprometidas. Si se produce una brecha en los datos, no solo podría perder dinero, sino que también se vería afectada su bien ganada reputación.

Nuestra empresa puede proporcionarle los recursos que necesita a la hora de implementar soluciones y compensar costes para cumplir con los requisitos de la norma PCI DSS. El equipo de PCI de Verizon Business efectúa cientos de evaluaciones todos los años y trabaja con empresas de Fortune 500 tanto nacionales como multinacionales. El equipo está compuesto de asesores de seguridad cualificados (QSA) y asesores de seguridad cualificados de aplicaciones de pago (PA-QSA) que trabajan en seis regiones de todo el mundo en más de 20 idiomas.

Este equipo de especialistas concentra su labor en las evaluaciones de PCI DSS y PA-DSS, así como en servicios de preparación, consultoría y remediación de PCI. Como complemento a los servicios profesionales, Verizon Business ayuda a los clientes de los servicios de PCI a través de una gran variedad de plataformas, entre otras nuestro programa de conformidad para comercios (MCP), el programa de cumplimiento online (OCP) y el programa de seguridad de los partners (PSP).

Verizon PCI Services será a partir de ahora Terremark PCI ServicesEn abril de 2011, Verizon completó la adquisición de Terremark, un proveedor internacional de servicios gestionados de infraestructura de TI y cloud. Gracias a esta adquisición, Terremark, una compañía de Verizon, podrá ofrecer una cartera de soluciones ampliada y mejorada que combina las capacidades de cloud, seguridad y TI de Terremark y Verizon.

Acerca de Terremark, una compañía de VerizonTerremark, una compañía de Verizon, es uno de los líderes a nivel mundial en ofrecer soluciones corporativas de transformación y seguridad de TIC. Como empresa subsidiaria de Verizon Communications Inc. (NYSE, NASDAQ:VZ), Terremark es el estándar de referencia para despliegues de TIC, con una oferta de servicios gestionados e infraestructura avanzada, que proporcionan la escalabilidad, seguridad y robustez necesarias para cumplir las estrictas demandas de las organizaciones y gobiernos de todo el mundo. Con una red global de centros de datos y un completo portfolio de soluciones de seguridad, Terremark ayuda al equipo humano de compañías y gobiernos a aprovechar la potencia y ventajas de la tecnología de cloud computing hoy. Para más información, visite www.terremark.es.

Verizon es un líder mundial que ayuda a administraciones públicas y a empresas medianas y grandes a conseguir mejores resultados. Verizon combina soluciones integradas de comunicaciones y TI, servicios profesionales y redes globales de IP y movilidad inteligentes para ayudar a las organizaciones a acceder a la información, compartir contenido y comunicarse de forma segura. Verizon se ha transformando siguiendo un modelo de “todo como servicio” basado en la nube que pondrá el poder de las soluciones de clase empresarial al alcance de todo tipo de empresas, donde y cuando lo necesiten. Visite verizonbusiness.com/es

Verizon Communications Inc. (NYSE, NASDAQ:VZ), empresa con sede en Nueva York, Estados Unidos, es un líder mundial en la prestación de servicios de banda ancha y otras comunicaciones inalámbricas y fijas para el mercado general, empresas, administraciones públicas y organizaciones mayoristas. Verizon Wireless opera la red inalámbrica más segura de Estados Unidos, con más de 93 millones de clientes en todo el país. Verizon también ofrece servicios convergentes de comunicaciones, información y entretenimiento a través de la red de fibra óptica más avanzada de Estados Unidos, y proporciona soluciones empresariales completas e innovadoras para clientes de todo el mundo. Verizon es una empresa del Dow 30 que emplea una fuerza laboral diversa de más de 195.000 empleados y el año pasado generó unos ingresos consolidados de más de 106.600 millones de dólares. Visite el sitio en inglés verizon.com© 2011 Verizon. Todos los derechos reservados. Los nombres y logotipos de Verizon y Verizon Business, además de todos los demás nombres, logotipos y lemas que identifican los productos y servicios de Verizon, son marcas comerciales o registradas de Verizon Trademark Services LLC o sus filiales en Estados Unidos y otros países. Microsoft y Excel son marcas registradas o marcas comerciales de Microsoft Corporation en los Estados Unidos y en otros países. Todas las demás marcas comerciales o de servicio son propiedad de sus dueños respectivos. MC15106 ES 10/11