Vicente entrevistado en el programa: En casa de Herrero

El pasado martes 20 de marzo, Vicente fue entrevistado en el programa “En casa de Herrero” de esRadio para comentar la filtración que ha afectado a más de 50 millones de usuarios de Facebook, en la que se ha visto implicada la empresa de análisis de datos Cambridge Analytica y que, supuestamente, ayudó a Trump en su campaña de 2016. El asunto ha alcanzado tal magnitud que incluso el propio Mark Zuckerberg ha sido citado por el Parlamento británico y la Eurocámara.

Tras conocerse la noticia, las acciones de Facebook cayeron casi un 7%, generando unas pérdidas de más de 36.000 millones de dólares, y siguen cayendo. El problema va más allá, ya que la característica “permisos de amigos” que facilitaba Facebook a desarrolladores externos hasta mediados de 2014, pudo ser explotada por miles de aplicaciones desarrolladas por terceros. Facebook conocía el problema, pero no hizo nada por evitarlo. De hecho, parece que actuaba con una venda en los ojos ya que desde el punto de vista legal era mejor no conocer cómo podrían estar explotándose los datos de los usuarios sin su consentimiento. La mayoría de los usuarios de Facebook podrían haber visto comprometida su privacidad, sin forma de protegerse. Ahora, Facebook se enfrenta a una demanda ejemplar.

Audio de la entrevista:
http://bit.ly/2FUz4Q4

PCI DSS v3.2 más exigente desde el 1 de febrero de 2018

Aunque la norma PCI DSS no ha cambiado desde que se publicó la versión 3.2 esta incluía ciertos requerimientos que se contemplaron como "opcionales" o "deseables" hasta el 31 de enero de este año. Pasada esta fecha, esos requerimientos son obligatorios y, por tanto, cualquier empresa afectada por el cumplimiento de la norma, debe tenerlos implementados o estará incurriendo en incumplimientos. Es importante tener presente que el hecho de haber superado una Auditoría de Certificación del cumplimiento (ROC) o reportado el cumplimiento con un Cuestionario de Auto-Evaluación (SAQ) en una fecha anterior no exime del cumplimiento de esos controles hasta la fecha de la nueva evaluación, sino que deberá haber desarrollado la implementación de estos nuevos controles obligatorios desde el mismo 1 de febrero.

Estos requerimientos deberán ser validados en cualquier proceso de revisión de cumplimiento pasado el 1 de febrero. Algunos de ellos afectan a todo tipo de empresas y otros únicamente aplicarán a Proveedores de Servicio.

Los requerimientos que afectan a todos las empresas son los siguientes:
  • Cambiar los procesos de cambio para confirmar que los requerimientos afectados de PCI DSS están adecuadamente implementados tras cambios significativos en el entorno de cumplimiento (Requerimiento 6.4.6).
  • Implementar autenticación multi-factor para todos los accesos administrativos diferentes a la consola (Requerimiento 8.3.1).
Los requerimientos que afectan a Proveedores de Servicio son:
  • Mantener documentada la descripción de la arquitectura criptográfica en uso (Requerimiento 3.5.1).
  • Detectar y responder a fallos de sistemas de control de seguridad críticos (Requerimientos 10.8 y 10.8.1)
  • Llevar a cabo test de intrusión a los controles de segmentación de red, al menos, cada seis meses (Requerimiento 11.3.4.1).
  • Establecer un programa de cumplimiento formal de PCI DSS (Requerimiento 12.4.1).
  • Llevar a cabo revisiones trimestrales para asegurar que se siguen las políticas y procedimientos de seguridad (Requerimientos 12.11 y 12.11.1).
Estos requerimientos de obligado cumplimiento pretenden, principalmente, reforzar los procesos de seguridad, su eficacia y la verificación de esta, además de incrementar la periodicidad de ciertos controles que lo confirman. Estas actividades son supervisadas en nuestros servicios de cumplimiento por el equipo de las Oficinas Técnicas de PCI DSS de Internet Security Auditors, garantizando que estos nuevos requerimientos se cumplen adecuadamente.


Autor: Daniel Fernández Bleda 
CISM, CISA, CISSP, ISO27001 L.A., OPST/A, CHFI
Dpto. Comercial