D-SOP-10 / Norma PCI
NORMA PCI - ¿Qué es?
La norma de seguridad PCI está compuesta por un conjunto de controles de seguridad que las empresas están obligadas a implementar para proteger los datos de las tarjetas de crédito y cumplir con el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS). Los requisitos han sido desarrollados y mantenidos por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI).
Cualquier organización que reciba tarjetas de pago, incluyendo tarjetas de débito y crédito, deberá cumplir con los 12 requisitos que la norma enumera de forma directa o bien a través de un control de compensación. No obstante, los controles de compensación no siempre se admiten y deben ser aprobados bajo un criterio caso por caso, por parte de un asesor de seguridad cualificado de la PCI (QSA PCI).
El incumplimiento de alguno de los 12 requisitos PCI DSS puede derivar en multas o en la finalización de los privilegios de procesamiento de tarjetas de crédito.
REQUISITOS DE LA NORMA
La versión actual de la normativa (3.2) especifica 12 requisitos para el cumplimiento, organizados en 6 secciones relacionadas lógicamente, que son llamadas "objetivos de control":
Los objetivos de control y sus requisitos son los siguientes:
DESARROLLAR Y MANTENER UNA RED SEGURA
Instalar y mantener una configuración de firewall para proteger los datos de los titulares de tarjetas;
No utilizar los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
PROTEGER LOS DATOS DE LOS PROPIETARIOS DE TARJETAS
Proteger los datos almacenados de los titulares de tarjetas;
Cifrar la transmisión de los datos de los titulares de tarjetas a través de redes públicas abiertas.
MANTENER UN PROGRAMA DE GESTIÓN DE VULNERABILIDADES
Usar y actualizar con regularidad el software antivirus;
Desarrollar y mantener sistemas y aplicaciones seguras.
IMPLEMENTAR MEDIDAS SÓLIDAS DE CONTROL DE ACCESO
Limitar el acceso a los datos de los titulares únicamente a lo que los negocios necesiten saber;
Asignar una identificación única a cada persona con acceso a una computadora;
Restringir el acceso físico a los datos de los titulares de tarjetas.
MONITORIZAR Y PROBAR REGULARMENTE LAS REDES
Rastrear y monitorear todo acceso a los recursos de la red y a los datos de titulares de tarjetas;
Probar con regularidad los sistemas y procesos de seguridad.
MANTENER UNA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Mantener una política que aborde la seguridad de la información.
DESARROLLOS DE NEOTEL PARA LA NORMA
Al ser una herramienta customizable que se adapta a las necesidades de nuestros clientes, Neotel no se encuentra certificada bajo las normas PCI.
Sin embargo, acompañamos a nuestros clientes para que puedan lograr la certificación con consejos y desarrollos como los que se listan a continuación.
SITIO SEGURO DE INTERNET
El cliente debe generar los certificados necesarios los cuales se instalarán en el servidor de aplicaciones para poder habilitar en el firewall de dicho servidor el puerto 443 y deshabilitar el puerto 80. Con estas acciones se logra el acceso a la plataforma por medio del Hypertext Transfer Protocol Secure (HTTPS).
ENCRIPTACIÓN DE DATOS
El CRM de Neotel cuenta con la encriptación de los datos por medio del método de semilla de forma built-in, siendo este método una encriptación que utiliza un STRING definido en el CRM para encriptar los tipos de datos Texto-Encriptado y Texto-Password-Encriptado. Por medio de la semilla definida los datos almacenados en la base de datos se encriptarán y desencriptarán utilizando la misma.
En caso de requerirlo, el cliente puede optar por modificar el método utilizado para la encriptación de información haciendo la misma por medio de un certificado de BBDD o bien a partir de Llave Simétrica.
Cabe aclarar que, desde Neotel, en ninguno de los casos nos encargamos de hacer la encriptación del motor de base de datos, sino que realizamos encriptación de columnas dentro de tablas específicas.
TRATAMIENTO DE GRABACIONES
ENCRIPTACIÓN DE GRABACIONES
Para que el resguardo de la información sea total, habiendo realizado ya la encriptación de los datos en el SQL, se lleva a cabo la encriptación de los audios, ya que, sin hacer esto, cualquier intrusión podría dejar accesible las grabaciones.
Utilizando el servicio Transcoder de Neotel (y algunas configuraciones adicionales) se puede realizar la encriptación de los archivos de audio (grabación de llamadas) con el fin de que cualquier dato de información financiera que el asesor le solicite al cliente quede resguardado. Luego de esto, solamente se podrá realizar la reproducción de las grabaciones desde la plataforma, o bien, desde un equipo que contenga la llave correspondiente para desencriptar las mismas.
Se debe tener en cuenta que, en este proceso, se realiza una doble encriptación, encriptando de forma simétrica el audio y luego, de forma asimétrica, la clave utilizada para la encriptación. Por tal motivo, para mejorar la seguridad, la estructura montada es la de un servidor de grabaciones (que cuenta con lo necesario para la encriptación) y otro servidor donde se aloja la WEB de Neotel (que desencriptará los audios).
CORTE DE GRABACIONES
En caso de que no sea necesario contener en el audio la información financiera del cliente, pero sí en el CRM, Neotel desarrollará un botón en pantalla, el cual habilita los campos a completar con el cliente y, al mismo momento, corta la grabación de la llamada.
Para este desarrollo no es necesario contar con la encriptación de los audios ya que los mismos no contienen ningún tipo de información financiera.
TRANSFERENCIA A TOKENIZADOR
Otra opción es la tokenizacion de las tarjetas de crédito. La misma puede realizarse por medio de la derivación de la llamada a un tokenizador (como por ejemplo GIRE).
Lo que se hace es lo siguiente:
Derivar a un número externo la llamada para que el IVR que atiende el llamado reciba el número de tarjeta ingresado por el cliente en el teclado del teléfono
El tokenizador sustituye de forma aleatoria el número ingresado por una serie de dígitos generados al azar para que pueda darse el normal tratamiento al número de tarjeta sin utilizar el número real.
Esta acción puede realizarse estando en conferencia operador, cliente e IVR, o bien que el operador quede en espera hasta que el cliente finalice la acción de ingreso de datos en el IVR.