PCI FAX – ¿Cómo afecta PCI-DSS a los servicios de fax?
PCI FAX
El Fax Virtual proporciona numerosos beneficios de seguridad para las empresas, pero muchos sectores requieren de medidas adicionales para asegurarse de que sus datos se envían y reciben sin riesgo de brechas de seguridad. En realidad, todas las compañías que procesan y gestionan información de tarjetas bancarias deben cumplir con PCI-DSS (Payment Card Industry Data Security Standard), un estándar de seguridad creado por los emisores principales para proteger a los datos de tarjeta de los consumidores. Hoy, explicaremos qué es un PCI FAX, y qué significa para los negocios enviar fax en cumplimiento con PCI.
Protección para los datos bancarios
Los servicios de fax en la nube son por defecto uno de los métodos más seguros para enviar y recibir archivos que contienen información sensible. Debido a su tecnología, la autenticidad de enviar un fax casi nunca está cuestionada. Algunas empresas como Comunycarse proporcionan todavía más capas de protección, certificando los documentos con ‘Proof of Delivery’ para asegurar la transmisión de datos de forma segura.
Sin embargo, los datos de tarjetas bancarias no pueden ser tratados como texto ordinario. Ya que la mayoría de las brechas de seguridad suceden porque la información del titular de tarjeta fue comprometida, es extremadamente importante tomar todas las medidas de seguridad necesarias para evitar brechas y costes de millones de dólares.
El estándar PCI-DSS – qué es, y quién está afectado?
El estándar Payment Card Industry Data Security Standard, también conocido como PCI-DSS, es un conjunto de prácticas y medidas de seguridad creadas por VISA, Mastercard, American Express, Discover y JCB con el objetivo de establecer normas estandarizadas para las empresas que operan con datos de tarjetas de crédito.
Desde el febrero de 2018, el estándar PCI será obligatorio para todas las empresas que procesan o gestionan datos de tarjetas bancarias, incluyendo a call centers, e-commerce, startups, agencias de viaje y hoteles, entre otros.
En realidad, PCI-DSS afecta a todas las operaciones que involucran datos bancarios, incluso en los casos donde no se realizan pagos en el momento de recolectar los datos. Por ejemplo, los hoteles que hacen copia o apuntan los detalles de tu tarjeta de débito o crédito también deben estar en cumplimiento con PCI. En el caso contrario, corren el riesgo de sufrir posibles penalizaciones por incumplimiento de las normas, especialmente si esto lleva a alguna brecha de datos.
PCI Fax – ¿Cómo afecta PCI-DSS a los servicios de fax?
Como ya mencionamos, cada vez cuando una operación requiere del procesamiento de datos de tarjeta, los requisitos de PCI tendrán que ser cumplidos. Esto también aplica a los servicios de fax, independientemente si sean en la nube u on-premise.
Fax on-premise
Sin embargo, existen algunos obstáculos a la hora de cumplir con PCI-DSS cuando hablamos de fax on-premise. Por una parte, este tipo de infraestructuras normalmente implican que los documentos se comparten en un espacio abierto, facilitando el acceso no autorizado.
Por otra parte, los sistemas físicos generalmente no son capaces de estar al día con los últimos cambios tecnológicos, o requieren de esfuerzos, recursos, y costes adicionales para hacerlo.
Para los negocios que operan en industrias reguladas por normas estrictas de seguridad (como la sanitaria o la financiera), el fax on-premise pone la responsabilidad en las manos de los departamentos IT internos. Esto implica mayores riesgos de seguridad, ya que estas personas no suelen tener los conocimientos necesarios para el cumplimiento con PCI. Adicionalmente, la encriptación suele ser mucho más difícil para el fax on-premise.
Fax en la nube
A diferencia del fax on-premise, los servicios de fax en la nube normalmente se proporcionan por vendedores de Fax Virtual que no solo están en cumplimiento con PCI, pero también son capaces de reaccionar inmediatamente frente a los cambios dinámicos del mundo digital.
Ya que las infraestructuras en la nube permiten una actualización mucho más fácil que la de los sistemas on-premise, los proveedores de PCI FAX siempre pueden actualizar sus servicios a la últimas versiones de PCI-DSS sin gastos significantes.
Esto automáticamente hace que el cumplimiento con PCI sea más fácil también para las empresas que utilizan servicios de fax en la nube, sin tener que gastar dinero en infraestructura compleja y difícil de mantener.
¿Cómo cumplen con PCI los proveedores de servicios de fax?
Los requisitos de PCI-DSS cubren los siguientes componentes técnicos y operativos:
Construir y mantener una red segura | Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta. No use valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad. |
Proteger los datos del titular de la tarjeta | Proteja los datos almacenados del titular. Encriptar la transmisión de los datos del titular de la tarjeta a través de redes abiertas y públicas. |
Mantener un programa de administración de vulnerabilidades | Usar y actualizar periódicamente software o programas antivirus Desarrollar y mantener sistemas y aplicaciones seguros |
Implementar fuertes medidas de control de acceso | Restrinja el acceso a los datos del titular de la tarjeta por necesidad comercial de la empresa. Asignar una identificación única a cada persona con acceso a la computadora. Restrinja el acceso físico a los datos del titular de la tarjeta. |
Supervise y pruebe regularmente las redes | Rastrea y controla todo el acceso a los datos del titular de la tarjeta. Controle regularmente los sistemas y procesos de seguridad. |
Mantener una política de seguridad de la información | Mantener una política que aborde la seguridad de la información para empleados y contratistas. |
Source: pcisecuritystandards.org
Por supuesto, las diferentes empresas tienen diferentes aproximaciones al cumplimiento con PCI-DSS, pero generalmente un PCI FAX:
- Utiliza tecnologías de encriptación como AES 256-bit y bases de datos SQL;
- Está protegido con controles estrictos de contraseñas;
- Restringe el acceso a la plataforma por personal no autorizado;
- Es capaz de detectar cambios en el código;
- Utiliza encriptación SSL/TLS para el tráfico web.
Adicionalmente, los datos se almacenan en centros de datos seguros con un control altamente restringido a acceso no autorizado.
Si mi proveedor cumple con PCI, también necesito cumplir yo?
Si tu proveedor de Fax Virtual cumple con el estándar PCI-DSS, también es tu responsabilidad asegurarte de que los datos de tarjetas bancarias se gestionan de forma segura en todos los departamentos, actividades, operaciones y servicios en la empresa. El Fax Virtual es sólo uno de los servicios que deberás proteger a lo largo del tiempo.
Por esta razón, también es tu obligación asegurarte de que todos tu vendedores, proveedores de servicios y partners que tienen acceso a los datos de tarjeta de tus usuarios estén en cumplimiento.