El director de Producto de Secure Solutions en Continent 8 Technologies, Craig Lusher, analiza las implicancias de los últimos desarrollos en el ecosistema global de juego online a medida que se vuelve cada vez más crítico.
En este contexto, el Consejo de Estándares de Seguridad de PCI, que proporciona una base de requisitos técnicos y operativos diseñados para proteger los datos de las cuentas, introdujo un mandato 4.0 con 60 nuevos requisitos, que desplazarán al estándar existente antes del 31 de marzo de 2025.
En la primera parte de un especial de dos con nuestro sitio hermano SBC News, Lusher profundiza en los componentes clave del cambio, los desafíos planteados y los aspectos cruciales que deben adoptarse a medida que PCI DSS v4.0 reemplaza a la versión 3.2.1.
SBC News: ¿Podría explicarnos las razones principales detrás del cambio del PCI Security Standards Council a PCI DSS 4.0?
Craig Lusher: El principal impulsor detrás del cambio del PCI Security Standards Council a PCI DSS 4.0 es la evolución del panorama de amenazas cibernéticas y la necesidad de mejorar continuamente la seguridad de los datos de las tarjetas de pago. A medida que la tecnología avanza y surgen nuevas vulnerabilidades, es crucial actualizar los estándares para abordar estos desafíos de manera efectiva.
PCI DSS 4.0 introduce varios cambios clave destinados a fortalecer las medidas de seguridad, promover la flexibilidad y respaldar tecnologías innovadoras. El estándar actualizado pone un mayor énfasis en el análisis de riesgos, lo que permite a las organizaciones adaptar sus controles de seguridad en función de su entorno de riesgo único. Este enfoque permite a las empresas priorizar y asignar recursos de manera más efectiva mientras mantienen una postura de seguridad sólida.
El nuevo estándar reconoce la creciente adopción de tecnologías en la nube y la necesidad de una implementación segura de estas soluciones. PCI DSS 4.0 proporciona una guía más clara sobre cómo proteger los entornos de nube y garantiza que las organizaciones puedan aprovechar los beneficios de la computación en la nube sin comprometer la seguridad de los datos de los titulares de tarjetas.
“A medida que los atacantes se vuelven más sofisticados, las organizaciones deben actualizar y fortalecer continuamente sus controles de seguridad”.
Continent 8 ha construido su reputación ayudando a las empresas de juego online a navegar en mercados regulados y cumplir con estrictos estándares de cumplimiento. Entendemos la importancia de estar a la vanguardia de las regulaciones y estándares en evolución, así como los beneficios que este enfoque proactivo brinda a nuestros clientes.
El objetivo de PCI DSS 4.0 es proporcionar un marco más completo que se adapte a diversos modelos de negocio y tecnologías. También enfatiza la evaluación y gestión continua de riesgos, alentando a las organizaciones a adoptar una postura de seguridad proactiva. Según un informe de IBM, el coste medio de una filtración de datos en 2023 fue de 4,45 millones de dólares, lo que subraya la necesidad de medidas de seguridad sólidas.
SBCN: ¿Cuáles son los principales desafíos que enfrentan las organizaciones, en particular aquellas dentro del espacio del juego online y las apuestas deportivas, al adherirse a estas reglas actualizadas de procesamiento de pagos con tarjeta de crédito?
CL: Uno de los principales desafíos que enfrentan las organizaciones en la industria del juego online y las apuestas deportivas es la complejidad de sus entornos de TI. Estas empresas suelen lidiar con una multitud de sistemas interconectados, integraciones de terceros, API y una gran cantidad de datos confidenciales, lo que las convierte en objetivos principales para los ataques cibernéticos y es un desafío garantizar la seguridad de extremo a extremo y el cumplimiento de PCI DSS 4.0.
Otro obstáculo importante es la constante evolución de las ciberamenazas. A medida que los atacantes se vuelven más sofisticados, las organizaciones deben actualizar y fortalecer continuamente sus controles de seguridad para evitar violaciones de datos.
“La naturaleza global de la industria del juego online y las apuestas deportivas añade una capa adicional de complejidad”.
PCI DSS 4.0 exige la implementación de soluciones de seguridad sólidas como protección de aplicaciones web y API (WAAP) o firewalls de aplicaciones web (WAF) para proteger contra ataques basados en web. También se requieren sistemas de detección/prevención de intrusiones (IDS/IPS) para monitorear y responder a posibles incidentes de seguridad en tiempo real.
Las evaluaciones periódicas de vulnerabilidad y las pruebas de penetración también forman parte de los requisitos de PCI DSS, lo que ayuda a las organizaciones a identificar y abordar posibles debilidades en su postura de seguridad.
Si bien no es un requisito explícito, el Consejo de Estándares de Seguridad de PCI recomienda encarecidamente el uso de las capacidades del Centro de operaciones de seguridad (SOC) y de Gestión de eventos e información de seguridad (SIEM). Estas herramientas brindan capacidades centralizadas de monitoreo, análisis y respuesta a incidentes, lo que permite a las organizaciones detectar y responder a las amenazas de manera más efectiva.
La implementación y el mantenimiento de estas medidas de seguridad proactivas a menudo requieren recursos humanos adicionales con habilidades especializadas (de las cuales existe una gran escasez a nivel mundial).
Es posible que las organizaciones deban invertir en contratar, retener y capacitar personal de seguridad interno o considerar la subcontratación a proveedores de servicios de seguridad administrados (MSSP) como Continent 8. Al asociarse con un MSSP experimentado, las organizaciones pueden acceder a la experiencia y las tecnologías necesarias para cumplir con PCI DSS. requisitos y mantener una postura de seguridad sólida sin sobrecargar a sus equipos internos.
La naturaleza global de la industria del juego online y las apuestas deportivas añade una capa adicional de complejidad. Las organizaciones deben navegar por diversas regulaciones regionales y asegurarse de que sus sistemas de procesamiento de pagos cumplan tanto con PCI DSS 4.0 como con los requisitos locales. Esta puede ser una tarea desalentadora, especialmente para empresas que operan en múltiples jurisdicciones.
“Continent 8 cree que un enfoque de seguridad integral y por niveles es esencial para lograr y mantener el cumplimiento de PCI DSS”.
Continent 8 comprende estos desafíos y ha desarrollado un conjunto integral de soluciones para ayudar a las organizaciones a superarlos. Nuestros servicios de seguridad gestionados, incluidos VAPT, WAAP/WAF, M-SOC y SIEM e IDS/IPS, están diseñados para proporcionar una defensa sólida contra las amenazas cibernéticas y al mismo tiempo simplificar el cumplimiento de PCI DSS 4.0. Nuestro equipo de expertos trabaja en estrecha colaboración con los clientes para satisfacer las necesidades específicas de la industria del juego online y las apuestas deportivas.
SBCN: Según su experiencia, ¿cuáles diría que son las introducciones críticas que se adoptarán según el nuevo estándar global? ¿Diría que se ha pasado por alto algún aspecto?
CL: Una de las introducciones críticas de PCI DSS 4.0 es el mayor énfasis en el análisis de riesgos y la adopción de un enfoque personalizado de seguridad. Este cambio permite a las organizaciones adaptar sus controles de seguridad en función de su entorno de riesgo único, lo que les permite asignar recursos de manera más efectiva y centrarse en las áreas más críticas de su infraestructura de TI.
Otro aspecto clave son los requisitos mejorados para la protección contra ataques basados en web. PCI DSS 4.0 exige el uso de soluciones técnicas automatizadas, como WAF, para detectar y prevenir continuamente ataques basados en web. Este requisito resalta la importancia de defenderse proactivamente contra la creciente amenaza de ataques a la capa de aplicaciones, que pueden provocar violaciones de datos devastadoras.
El estándar actualizado también pone un mayor énfasis en el monitoreo de seguridad y la respuesta a incidentes. Las organizaciones deben implementar mecanismos de registro sólidos, revisar periódicamente los registros en busca de actividades sospechosas y establecer planes formales de respuesta a incidentes. Estas medidas son cruciales para detectar y responder a incidentes de seguridad de manera oportuna, minimizando el impacto de posibles violaciones de datos.
Si bien PCI DSS 4.0 cubre una amplia gama de aspectos de seguridad, hay algunas áreas que podrían beneficiarse de un mayor énfasis. Por ejemplo, el estándar podría proporcionar orientación más detallada sobre cómo proteger entornos en contenedores y arquitecturas de microservicios, que son cada vez más frecuentes en las infraestructuras de TI modernas. Además, podría haber abordado más a fondo tecnologías emergentes como blockchain y soluciones de seguridad basadas en IA.
Según Gartner, para el año 2025, el 60 por ciento de las organizaciones considerarán los riesgos de ciberseguridad asociados con sus socios comerciales y proveedores externos como uno de los principales factores a la hora de decidir si realizar transacciones o establecer relaciones comerciales con ellos. Continent 8 cree que un enfoque de seguridad integral y por niveles es esencial para lograr y mantener el cumplimiento de PCI DSS y para asociaciones más amplias.