Saturday, March 14, 2009

Peguemosle a PCI DSS



Estoy encontrando diferentes blogs en los cuales se pone en duda la robustez de la norma PCI DSS para proteger el robo de datos de los usuarios.

Es que se estan dando casos de grandes empresas procesadoras de tarjetas, que fueron PCI DSS compliant y que han sufrido robo de informacion.

Esto dispara criticas como las de Evan Schuman, el cual dice que las empresas como Visa, luego de conocer un caso de robo de datos en una empresa que se encontra en compliance, realiza una auditoria y declara que esto ocurrio por no cumplir con determinado requerimiento de la normativa. Este tipo de requerimiento es muchas veces algo totalmente subjetivo. De esta manera la empresa deja de estar compliance y Visa puede decir que al momento del robo, la empresa no cumplia con la norma.

Visa Suspends Heartland: A Little Revisionist History?



Un tanto mas acida es la critica de Andrew Conry-Murray, quien directamente dice que PCI DSS no permite enfocarse en proteger mejor los datos, y obliga a las empresas a trabajar bajo ciertas premisas que no siempre son las mejores.

En el post Conry-Murray dice que se puede estar compliance pero no respetar el espiritu de la norma, ejemplo : Tener un FW mal configurado.

El propone que las empresas busquen la mejor manera de proteger los datos y que en caso de perdida, sean sancionadas de acuerdo al valor de la perdida.

A Smarter Alternative To PCI

Anthony Freed es otro que esta en la cola de los que le pegan a Visa y a PCI DSS, en la misma tecitura que Evan Schuman, Freed dice que PCI DSS es solo una foto. Un sitio en compliance puede dejar de estarlo al dia siguiente. De esta manera las marcas protegen sus traseros en caso de incidentes de robos, ya que pueden alegar que la empresa procesadora no cumplia con la norma.

A mi entender nunca tendremos una norma o un standard que nos proteja 100% contra incidentes de seguridad, pretenderlo es desconocer la naturaleza humana. PCI DSS es una guia que ayuda a las empresas a crear una base sobre la cual trabajar, y por supuesto uno puede ir mas alla de PCI DSS y cubrir los baches que la norma deje descubiertos.

Ademas es ingenuo por parte de las empresas, alegar luego de sufrir un robo de informacion, que estan en compliance...

No comments: