Actualidad | Noticias | 09 OCT 2008

Ya está disponible la nueva versión del estándar PCI

Payment Card Industry Security Standards Council, responsable de la definición de los requerimientos técnicos para el procesamiento de tarjetas de crédito y débito ha lanzado la revisión PCI 1.2 de su estándar de seguridad. La organización además ha anunciado que el próximo año centrará sus esfuerzos en el desarrollo de nuevas directrices para la encriptación de extremo a extremo, las máquinas de pago y la virtualización.
Marta Cabanillas
El estándar de seguridad de datos PCI 1.2 DSS  (Data Security Standard) pretende básicamente aclarar diversos aspectos del apartado 12 de su predecesor PCI 1.1 que, según sus responsables, podían generar confusión. Explicita, por ejemplo, que son todos los sistemas operativos asociados al procesamiento de tarjetas los que deben correr software antivirus, dado que muchas empresas del sector interpretaron que tal medida afectaba sólo al sistema operativo Windows.
“Esta aclaración puede entenderse como una advertencia”, explica Sushila Nair, manager de producto de BT, quien explica que las organizaciones a menudo se limitan a desplegar antivirus sobre Windows porque consideran, erróneamente, que Unix, Macintosh, y otros sistemas operativos resultan menos vulnerables. En cualquier caso, Nair reconoce que aplicar esta aclaración de PCI sobre el uso de antivirus resultará “cara” en muchos casos.
Otro de los puntos aclarados en esta actualización, y uno de los que mayor polémica ha generado entre los miembros de PCI Security Standards Council, es la determinación del significado de “segmentación de red”, dado que el estándar intenta establecer métodos técnicos que acordonen las partes de la red donde se almacena la información sobre tarjetas de crédito. El objetivo en este sentido es que la evaluación de la conformidad con la norma pueda centrarse en partes específicas de las redes de los comercios que gestionan los datos de los propietarios de las tarjetas, y no afecte a las redes en su totalidad.
“En el encuentro para la aprobación del estándar PCI 1.2 se ha debatido mucho sobre la segmentación de red”, explica Sumedh Thakar, director de soluciones PCI de Qualys. “Muchos comercios intentan conseguir respuestas sobre cómo llevarla a cabo y la directriz a día de hoy es restringir el acceso utilizando firewalls”.
PCI 1.2, de hecho, dedica gran parte de sus primeras páginas a la segmentación de red. El documento finalmente establece que tal segmentación no debe considerarse a día de hoy una “exigencia”, pero también advierte que “sin segmentación de red –a veces llamada `flat network´- la red en su totalidad habrá de cumplir las normas PCI DSS”.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información