Analytics

lunes, 4 de septiembre de 2017

Normatividad PCI DSS y Protección de Datos con la Asociación Colombiana de Empresas de Contact Center y BPO

El pasado 30 de agosto, en colaboración con la Asociación Colombiana de Empresas de Contact Centers y BPO (ACDECC&BPO), se realizó en Bogotá una jornada de conferencias sobre Ciberseguridad enfocadas principalmente a concienciación de la norma PCI DSS y Ley de Protección de Datos tratando la siguiente temática:

Inicialmente, intervinieron Esteban Jaramillo y Laura Bernal y, de Summa Consultores, despacho de abogados especialistas, entre otras áreas, en Protección de Datos, con el que Internet Security Auditors colabora intensamente en los proyectos de Implementación del cumplimiento de la Ley 1581/2012 y sus reglamentaciones. Laura Bernal presentó los aspectos clave de la regulación en Protección de Datos, haciendo hincapié en los aspectos que más afectan a las empresas prestadoras de servicios de Contact Center y BPO, como responsables del tratamiento, destacando sus responsabilidades. Por su parte, Esteban Jaramillo presentó dos casos de empresas sancionadas, una de ellas del sector, analizando las razones que desembocaron en la sanción con el objetivo de mostrar qué errores se cometieron en cada caso desde el punto de vista del cumplimiento de la legislación en Protección de Datos. Por último, Javier R. Amaya desgranó la metodología que siguen Internet Security Auditors y Summa Consultores en los proyectos de Adecuación de sus clientes en el cumplimiento de la regulación en Protección de Datos para alcanzar el cumplimiento integral legal y técnico.

Posteriormente, Daniel Fernández, Socio y Director Comercial de Internet Security Auditors repaso los aspectos relevantes de las diferentes normas PCI, profundizando en la norma PCI DSS, los aspectos más relevantes de esta y revisando los conceptos más importantes en un proceso de Implementación de la norma. También glosó los puntos más importantes en el proceso de reporte del cumplimiento mediante los Cuestionarios de Auto-Evaluación, mostrando la importancia de identificar y documentar el cumplimiento con el SAQ correcto y los errores más comunes que se producen, así como sus consecuencias, con el objeto de concientizar a la audiencia sobre su responsabilidad en el cumplimiento adecuado de PCI DSS.

En seguida inicio David A. González, QSA del equipo de Consultoría de Internet Security Auditors en Colombia, hablando de Problemáticas particulares de cumplimiento de PCI DSS en CC&BPO, presentando ejemplos de incidentes y compromisos de datos, así como las vulnerabilidades o defectos que fueron explotados o que desembocaron en cada caso, incluyendo algún caso real de empresas del sector. También listó las diferentes problemáticas que, como él dijo, aportan “esos interesantes retos a los QSA que deben asesorarles” detallando las situaciones comúnmente más difíciles de superar en los procesos de implementación de PCI DSS. El cierre de su presentación concluyó especificando las posibles vías de remediación de estas problemáticas y que tienen como objetivo el cumplimiento y evitar las brechas de seguridad de los casos presentados, aparte de simplificar el cumplimiento de PCI DSS para las empresas de tercerización de servicios como las que asistían a las conferencias.

Y finalizando, Javier R. Amaya, QSA y responsable del equipo de Consultoría de Internet Security Auditors en Colombia, expuso la temática de Transferencia internacional de datos y cumplimiento de PCI DSS con proveedores Cloud, enlazando y relacionando PCI DSS y protección de datos con el fin de mostrar la relación de responsabilidades de cumplimiento que tienen los usuarios de las diferentes modalidades de servicios en la nube, dependiendo de la modalidad *aaS contratada, desglosando los diferentes aspectos que cada una de las opciones implican en cuanto a las obligaciones de cumplimiento tanto de PCI DSS como de la regulación en protección de datos. Además, dado el hecho que la mayoría de proveedores comúnmente utilizados en los servicios cloud se encuentran en países extranjeros, se mostraron todos los aspectos que en cuanto a la reciente Circular Externa sobre transferencia de datos al extranjero, se han de tener en consideración. El objetivo de su presentación fue el de mostrar la relación tan importante que se produce entre las diferentes normativas y en uso de terceros proveedores de servicios en la nube.

Sin duda, estas conferencias fueron un éxito por la cantidad y relevancia de las empresas que asistieron y demuestra el interés que hay permanentemente en los diferentes sectores productivos del país tanto en los aspectos relacionados con la protección de datos como con las normas de seguridad de datos de pago.

Seguro que este será el primero de muchos eventos de capacitación continua en los que Internet Security Auditors colaborará con la Asociación de Contact Center y BPO en la difusión de la Ciberseguridad dando respuesta a todas las inquietudes de los asistentes que se enriquecieron en el conocimiento en Seguridad de Sistemas de Información dentro del espacio brindado para este fin.

Para ver todas las presentaciones de la jornada pueden dirigirse a nuestra web.


Autora: Paola Andrea Pirabán Rozo
Sales Manager, Internet Security Auditors