Autor: Javier Trives – Responsable de PCI DSS
El pasado octubre, en Barcelona, se celebró la edición europea anual del PCI Community Meeting, un evento de lo más relevante a pesar de que el pasado mes de abril entrara en vigor la PCI DSS 4.0. Se podría pensar que estamos en un año de transición, pero nada más lejos de la realidad. La seguridad no conoce tregua y nuevos hitos asoman en el horizonte: el 1 de enero de 2025, DORA – Ley de Resiliencia Operacional Digital – entrará en vigor y el 31 de marzo de 2025, 40 requisitos de seguridad que hasta ahora no eran de obligado cumplimiento pasarán a serlo. En el European Community Meeting también se puso foco en las tendencias que afectarán al mundo financiero en el medio/largo plazo, estos son algunos de los aspectos vitales a tener en cuenta:
En el corto plazo
En primer lugar, la llegada de DORA en enero de 2025, que tiene como objetivo mejorar la resiliencia operativa y la ciberseguridad en el sector financiero, también fue objeto de análisis. En dicha regulación, se abordan aspectos como la gestión de riesgos relacionados con las tecnologías de la información y la comunicación (TIC), la notificación de incidentes, la realización de pruebas de resiliencia operativa y la gestión de riesgos de terceros, aspectos todos ellos que forman parte del núcleo de PCI DSS y cuyo cumplimiento, sin duda, nos ayudará a acatar esta regulación.
Desde 2022, se ha producido un aumento del 1000% de los ataques de phishing. Ante este nuevo escenario, tan importante es incluir mecanismos que nos protejan de estas amenazas, como educar al equipo sobre cómo detectar, reaccionar y reportar potenciales ataques de phishing y de ingeniería social.
No es inusual que una página web ejecute hasta 20 o 30 scripts y esto se ha convertido en uno de los vectores de ataque más habituales: los atacantes pueden utilizar estos scripts aparentemente inofensivos para cargar scripts maliciosos. Con la intención de evitar esta posibilidad, a partir del próximo marzo PCI DSS exige tener un inventario de scripts de la web y realizar pruebas periódicas que confirmen que éstos no han sido manipulados. De esta forma, se minimizará la probabilidad de que puedan ser modificados para realizar una acción no autorizada.
El uso de autenticación multifactorial para acceder al entorno de tarjeta directa o indirectamente (por ejemplo, mediante una red remota externa al comercio) será obligatorio para cualquier tipo de usuario, no solo aquellos que tengan permisos administrativos. Se intenta reducir la probabilidad de que un atacante ingrese en nuestros sistemas haciéndose pasar por un usuario legítimo.
La necesidad de realizar un análisis de riesgos específico puede parecer a primera vista algo engorroso y redundante, pero es una herramienta muy poderosa para poder tener un conocimiento profundo sobre nuestro propio entorno y los riesgos a los que está sometido. La idea detrás de esto es identificar los activos específicos, tales como los componentes del sistema y los datos sensibles, así como las amenazas (por ejemplo, malware, un intruso no detectado o el uso indebido de credenciales) y establecer para cada uno de ellos la frecuencia con la que deberemos asegurar su integridad.
¿Qué nos espera más allá de primer trimestre de 2025?
Durante el evento anual de PCI, no solo se abordó el futuro más inmediato, sino también se trataron varios aspectos que impactarán a medio/largo plazo.
Aunque la Inteligencia Artificial no fue la protagonista de estas sesiones especializadas, sí que destacó su importancia a corto/medio plazo en el mundo financiero. Prácticamente todas las herramientas del mercado incorporan de una forma u otra esta nueva tecnología, y PCI DSS se está ya preparando para que su uso se haga de forma segura y de acuerdo al estándar.
Se espera que MPoC, el estándar que regula los pagos a través de dispositivos móviles, sea renovado el próximo año. Si algo ha revolucionado el negocio últimamente son los pagos mediante dispositivos móviles. Esta posibilidad, hasta ahora mayoritariamente del lado del cliente, se espera que acabe imponiéndose también del lado de los comercios, posibilitando que ellos también sean capaces de gestionar sus cobros mediante su dispositivo. Un nuevo horizonte en el que MPoC será el que normalice y asegure que todo se haga de forma segura.
Conclusiones
Como vemos, la seguridad es uno los componentes esenciales sobre el que se vertebra el mundo financiero y ahí PCI DSS es un actor principal. Necomplus, con una trayectoria avalada por sus más de 30 años en la industria de los medios de pago, cuenta con un equipo especialista que puede ayudar a conocer e implantar esta normativa en cualquier proyecto, tal y como ya hace para varias entidades financieras.
En menos de 6 meses estaremos en disposición de conocer cómo el mundo del medio de pago ha conseguido adaptarse a las exigencias de PCI DSS v4.0, ha lidiado con la implantación de DORA y de qué forma afronta los nuevos retos que se planteen. De todo eso y mucho más se hablará en el próximo encuentro europeo que se celebrará en Ámsterdam en 2025.