Analytics

viernes, 6 de abril de 2018

¿Tiene usted una agencia de viajes? ¡Atención! Cumplir con PCI DSS no es eso que le han dicho

PCI DSS es una norma de la que venimos informando desde sus orígenes -el 2004 de las manos de VISA y el 2006 del PCI SSC- por la transcendencia que tienen los incumplimientos para las entidades afectadas.

Algo que es importante mencionar es que en estos orígenes está claro que ni las personas que se debieron reunir en VISA y Mastercard alrededor de la "mesa de debate" jamás pensaban en comercios pequeños, pequeños como empresas que deciden iniciar su camino en pago electrónico o, por ejemplo, agencias de viajes con las características como las que tiene este sector. El ecosistema del sector de agencias de viajes se puede decir que tiene la forma, por el tamaño general de esta con la forma de una pirámide donde las paredes de esta son unas curvas que se estrechan de forma importante en lo alto de la pirámide. Es decir, la gran cantidad de agencias tienen un tamaño menor de 25 personas. Aunque desde el punto de vista de PCI DSS el tamaño de una compañía no es tan importante, es relevante tener presente que estas agencias tendrán una complejidad tecnológica relativamente sencilla: no cuentan con CPDs, no cuentan con DMZ donde publiquen servicios, no desarrollan software y, también en muchos casos, no venden por Internet.

Intentando situar al lector debemos decir que, tristemente, PCI DSS no fue pensada, en absoluto, para este tipo de negocios. ¿Qué quiere decir esto? Que los requerimientos de PCI DSS, no tienen ningún tipo de consideración en si la empresa a la que se le pide el cumplimiento tiene unas ventas con tarjeta de 100 millones de euros o 10 euros, porque los requerimientos de la norma que aplican a una empresa grande le aplicarán exactamente igual, a una empresa pequeña

A lo anterior se suma que IATA, estableció el 1 de marzo de 2018, como la fecha límite para el cumplimiento de PCI DSS, creando un terremoto en el sector de las agencias de viajes, que podrían ver mermado su negocio por el impedimento de usar tarjetas de crédito, si no acreditaban el cumplimiento de la norma, cumplimiento que por otro lado deberían años llevar realizando, para garantizar la seguridad de esos datos a sus clientes

Lógicamente, todas las agencias sintieron esa sacudida y empezaron a preguntar al respecto. Esas primeras cuestiones llegaron a las asociaciones locales, regionales, nacionales de agencias que, a su vez, también preguntaron a los expertos. Los expertos en PCI DSS, somos las compañías QSA.

¿Qué hicimos compañías QSA como Internet Security Auditors? pues impartir conferencias en foros del sector, explicar las responsabilidades a las que se verían obligadas por el cumplimiento de PCI DSS y dejar claro todo lo que anteriormente he explicado: a los ojos de PCI DSS es igual que su agencia tenga 2 o 200 empleados, el factor más importante y que define que tiene que hacer para cumplir con PCI DSS es qué hacen con los datos de pago, cómo los obtienen, qué hacen con ellos, cómo los almacenan o, de forma sencilla, cuáles son sus procesos de pago.

En el ecosistema de compañías QSA existen algunas, (en general de gran tamaño), que ofrecen servicios a bajo coste y las asociaciones empezaron a comparar los precios en el mercado de los QSA para poder encontrar las opciones de coste más reducido "para cumplir" con PCI DSS, ofrecérselo a las agencias asociadas y dar el asunto por "zanjado". Si se puede cumplir con PCI DSS por 300 euros, porqué pagar 3.000.... Y aquí es donde parte del gremio ha caído en la trampa de creer que el cumplimiento de PCI DSS es marcar "Y"/"S" en un cuestionario y hacer un escaneo de vulnerabilidades Y eso, efectivamente, se puede llegar a hacer por tan solo 300 euros.

La mala noticia es que eso no es cumplir con PCI DSS. Podemos afirmar casi con seguridad que, si usted ha hecho eso, no está cumpliendo con la totalidad de PCI DSS.

La pregunta que seguramente se estará haciendo es: ¿pero si IATA parece dar a entender que simplemente tengo que rellenar el formulario y hacer ese escaneo y ya obtengo la "certificación DSS”? Algo falla aquí, ¿no?

Ciertamente, IATA parece que cuando exigió el cumplimiento de PCI DSS no hubiera hecho el ejercicio de analizar la norma y establecer la diferencia entre cumplir y cumplir rellenando un cuestionario con buena voluntad, pero sin conocimientos o el adecuado asesoramiento que a lo único que puede abocar a la agencia es a un posible incumplimiento. Es más, la certificación del cumplimiento únicamente la puede realizar un QSA, siguiendo un proceso de validación de evidencias y pruebas de cumplimiento.

El resultado en muchos casos ha sido, trasladar un mensaje inexacto y engañoso, y es que PCI DSS se limita exclusivamente a un par de cosas que se solventan con un mero un trámite administrativo, o que siguiendo estos procesos dispondré de una certificación de un QSA. No se dispondrá de ningún cuestionario firmado por un QSA, ningún QSA (un auditor acreditado por el PCI SSC) validará el contenido del SAQ y, por tanto, la responsabilidad del cumplimiento recaerá completamente en la agencia, siendo esta la que deberá evaluar si le falta algo relativo al cumplimiento.

Curiosamente, y ya que una de las actividades de cumplimiento que se les plantea a las agencias, es el escaneo de vulnerabilidades externo…. ¿alguien se ha parado a pensar que en un porcentaje que creemos mayor del 50%, ni es necesario llevarlo a cabo o puede ser convenientemente evitado? Pero y todas las pruebas internas de seguridad que aplicarán al 100% de agencias. ¿Quién las llevará a cabo?

En cuanto a rellenar un formulario respondiendo a todas las preguntas con “SI”, ¿tenemos claro la implicación desde un punto de vista legal?, me temo que no, pero ello deriva de haber convertido PCI DSS en un forzoso trámite para no quedarse fuera del negocio.

Esta reducción al absurdo del verdadero cumplimiento lleva, en un gran porcentaje de casos: a que las agencias van a seguir incumplimiento con una norma que no fue pensada para ellas (con el foco de las agencias de pequeño tamaño) pero con el agravante de que ahora van a pensar que sí que cumplen, porque han rellenado un papel y hacen algo de ese escaneo que les hace cumplir.

Quien lea esto, pensará…pero esto, no puede ser tan absurdo como lo exponen ¿no?... ¿qué sucederá a aquella agencia que crea que cumple con la norma, pero no sea así? Seamos realistas, lo que ya pasaba hasta ahora: PCI DSS NO ES UNA LEY, no existe la Agencia Nacional, ni Internacional del cumplimiento de PCI DSS, es decir, nadie se va a encontrar en su puerta al Inspector de ninguna Agencia vestido con un traje negro y preguntándole acerca de su cumplimiento.

Buf.... menos mal, ¿no?

Pues no, porque lo que sucede, ha sucedido y sucederá es que cada año, a unas decenas de agencias de viajes en todo el mundo les toca la lotería, la lotería de “un compromiso de su seguridad” por diferentes razones, bien sea un malware, o un phishing, o por un "problema" interno y es en ese preciso momento cuando el Cuestionario de AutoEvaluación que se ha rellenado con tanta valentía con esos "SI" cobra todo el sentido y valor para su receptor. ¿Por qué? Pues porque ese cuestionario es un documento oficial que se firma como empresa y en que indicamos que estamos cumpliendo con PCI DSS, con TODO lo que la norma nos exige (según lo que comentábamos al principio) y que es, por desgracia para al que le ha tocado esa lotería, mucho más que tener un papel lleno de Síes y un escaneo de vulnerabilidades.

Pero entonces, ¿qué nos hemos dejado? Pues la verdad, puede ser mucho, y sin querer enumerar los que serán comunes al 100% de las agencias:


  1. PCI DSS exige que tengamos un conjunto de documentación que recoge cómo se llevan a cabo los procesos de seguridad. Y no sólo tener un documento que lo detalla y que esté bien guardado en un cajón. Exige que ese procedimiento se siga, literal, cuando aplique. Por ejemplo, actualizando nuestros sistemas informáticos.
  2. PCI DSS exige realizar revisiones técnicas de seguridad como son escaneos internos de vulnerabilidades, escaneos de redes WiFi y Test de Intrusión internos. No hay agencia que no tenga, al menos, un ordenador y una oficina donde esté este ordenador. Si usted no hace estas tres cosas, estará incumpliendo con la norma.
  3. PCI DSS obliga a realizar formaciones a todo el personal anualmente (esto es muy posible que lo esté haciendo) pero también obliga a que tengamos inventariados y documentados nuestros procesos de pago (lo que hacemos con las tarjetas de inicio a fin).
  4. PCI DSS obliga a manejar los datos de pago no electrónicos con medidas de seguridad de protección física.
  5. PCI DSS nos obliga a aquellas compañías que tengan un sitio de venta por Internet, o venta telefónica (grabando conversaciones telefónicas) a custodiar las grabaciones o a implementar medidas adicionales de seguridad a las que aplican a las aplicadas en nuestras oficinas. 
  6. La lista continua, y si su agencia guarda, por ejemplo, datos de tarjeta en un sistema informático, o tiene e-commerce, esta lista es muy amplia.


Puede parecer que esta reflexión, a la que se deberían ver obligadas todas las agencias IATA, parezca una burda excusa para vender nuestros servicios, pero realmente, lo que la motiva es ver como el “falso cumplimiento” al que se ha abocado a las agencias de pequeño tamaño, se ha convertido en un engañoso negocio derivado  de la exigencia de unas Organizaciones que deberían estar preocupadas de velar por la correcta  implantación de una norma, cuyo fin es garantizar la seguridad de los usuarios de tarjetas, y no únicamente parecería que de disponer de un “papel” que, en caso de incidente, solo servirá de arma arrojadiza contra ese mismo colectivo al que ahora presionan para que lo cumplimenten, sin importar como.

Queda a su arbitrio reflexionar si por lo que ha pagado está usted “certificado” en el cumplimiento de PCI DSS porque suya es esa responsabilidad, únicamente.

Resumiendo ¿qué sucederá con la agencia a la que le haya tocado el “premio” y haya declarado con su Cuestionario que cumple con PCI DSS con toda su mayor o menor buena fe. Algo ya sabemos…. y es que siguen tocando “premios” cada vez que se producen incidentes de seguridad como los que vemos en prensa así que ¡hagan juego o prepárense!

Autor: Daniel Fernández Bleda
CISM, CISA, CISSP, ISO27001 L.A., OPST/A, CHFI
Dpto. Comercial