Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Cumplimiento de PCI > Cómo Asegurar que tu SFTP Cumpla con PCI

Cómo Asegurar que tu SFTP Cumpla con PCI

by Danielle Barbour updated noviembre 28, 2024 Cumplimiento de PCI
Reading Time: 7 minutes

Si actualmente estás utilizando FTP o incluso una solución SFTP heredada para transferir archivos y aceptar pagos con tarjeta de crédito o débito, es posible que desees considerar un cambio para evitar posibles riesgos de cumplimiento PCI. Es muy poco probable que una solución FTP cumpla con PCI y una solución SFTP puede cumplir con los requisitos de PCI DSS siempre que se implementen ciertos protocolos para proteger los datos de las tarjetas de crédito que se transfieren. En este artículo del blog, exploraremos el cumplimiento PCI, los requisitos de cumplimiento para soluciones SFTP y las características “imprescindibles” que permitirán a las organizaciones mantenerse en el lado correcto del cumplimiento PCI.

Visión General del Cumplimiento PCI: Por Qué Es Importante

PCI DSS es un marco de cumplimiento para procesar pagos y manejar información de tarjetas de crédito y débito. Desarrollado y mantenido por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago, PCI describe las salvaguardias físicas, administrativas y técnicas que los minoristas y comerciantes deben seguir para procesar tarjetas de crédito como formas de pago.

Algunas regulaciones de cumplimiento, como HIPAA y FedRAMP, son requeridas por ley para ciertas industrias. PCI, sin embargo, no tiene la fuerza de la ley detrás de él. En cambio, se basa en las redes de tarjetas de crédito para auto-legislar disputas y cumplimiento, al tiempo que impone sanciones como multas o revocación de capacidades de procesamiento de pagos.

El enfoque principal del marco es asegurar que los datos de los clientes estén protegidos contra el robo o la divulgación durante el pago. Los datos privados de los clientes incluyen elementos como:

  • Nombres, números de teléfono y direcciones de los clientes
  • Números de tarjetas de crédito, fechas de vencimiento y códigos de verificación CVC
  • PINs, códigos de autenticación y cualquier información contenida en bandas magnéticas o chips EMV

Con eso en mente, el marco define 12 requisitos principales que tu organización debe tener en su lugar para manejar adecuadamente los datos de los usuarios. Aunque no todos estos se aplican a todas las tecnologías, cuando se trata de almacenamiento y transferencias de archivos, hay algunos críticos, incluyendo:

  • Protección de los datos almacenados de los titulares de tarjetas
  • Cifrado de transmisiones de datos en redes públicas
  • Seguimiento y monitoreo de todo el acceso a recursos de red y datos
  • Desarrollo y mantenimiento de aplicaciones seguras

En las últimas décadas, tecnologías cada vez más complejas y escaparates de compras han cambiado la forma en que las personas compran cosas. Donde una vez esta tecnología podía centrarse en máquinas POS, escáneres de tarjetas y servidores locales, ahora los consumidores compran en línea, adquieren servicios de suscripción y utilizan dispositivos móviles.

Debido a eso, las redes de tarjetas ahora definen controles de seguridad que permiten a los comerciantes procesar pagos a través de portales en línea y dispositivos móviles (incluyendo autenticación multifactor que aprovecha la biometría incorporada como escaneos de huellas dactilares y reconocimiento facial). Esto, a su vez, significa que los datos de los clientes se almacenan, transmiten y utilizan de diversas maneras, incluyendo para fines comerciales.

Cómo la Transferencia de Archivos Cumple con PCI Protege los Datos de los Titulares de Tarjetas

El cumplimiento de PCI DSS ayuda a proteger tus transferencias de archivos al requerir que las organizaciones tomen pasos de seguridad específicos para proteger los datos de los titulares de tarjetas. Estos pasos incluyen cifrar las transmisiones de datos de los titulares de tarjetas a través de redes abiertas y públicas; usar firewalls para proteger los datos de los titulares de tarjetas; monitorear y probar regularmente las redes; implementar controles de acceso para prevenir el acceso no autorizado a los datos de los titulares de tarjetas; y evaluar regularmente las redes para identificar y abordar vulnerabilidades. Las organizaciones que cumplen con el estándar también deben asegurarse de que todos los proveedores de servicios, vendedores y agentes de terceros sean conformes. Al tomar estos pasos, las organizaciones pueden proteger mejor sus datos de los titulares de tarjetas y los datos de sus clientes.

¿Qué Tan Segura Debe Ser la Transferencia de Archivos para PCI DSS?

La transferencia segura de archivos debe adherirse a los requisitos de PCI DSS. Los requisitos incluyen el uso de cifrado conforme a PCI, métodos de autenticación seguros, conexiones de red seguras, la capacidad de auditar y rastrear el acceso, y la capacidad de restringir el acceso solo a aquellos usuarios que necesiten acceder a los datos. La transferencia de archivos conforme a PCI DSS, como SFTP y transferencia de archivos administrada (MFT) también debe demostrar que los datos se almacenan de manera segura y que se mantiene la integridad de los datos. Por último, la capacidad de eliminar los datos cuando ya no se necesiten también debe ser una parte integral del sistema.

La Diferencia Entre SFTP y FTPS

Puede que veas algunas soluciones que anuncian tanto SFTP como FTPS como parte de su paquete de cifrado. Ambos se describen como protocolos FTP seguros, y aunque estas tecnologías comparten algunas similitudes, también hay algunas diferencias clave entre los dos:

  • FTPS es FTP con tecnología de Capa de Conexión Segura (SSL) añadida. Esto significa que esencialmente estás usando FTP sobre una conexión segura (SSL) con todo lo que eso implica, incluyendo múltiples conexiones de socket separadas y contraseñas y certificados requeridos. También significa que FTPS puede no funcionar bien con un firewall personalizado de manera única.
  • SFTP utiliza tecnología de Secure Shell (SSH) para el cifrado. Esto significa que SFTP no es solo FTP con seguridad añadida, es un método completamente separado de transferencia segura de archivos que FTP. Eso incluye la capacidad de transferir datos a través de una sola conexión, lo que significa una adopción e integración más simples con sistemas de seguridad complejos que incluyen firewalls.

Ambos protocolos pueden usarse como parte de un sistema seguro y conforme. Sin embargo, al trabajar con múltiples necesidades de seguridad y requisitos de cumplimiento, SFTP puede simplificar cómo aseguras tus aplicaciones e integrarlas en tu sistema.

Cómo Incorporar la Transferencia de Archivos Conforme a PCI en Tu Alcance PCI

El alcance PCI es el término utilizado para describir la extensión y áreas de una organización donde se aplica el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). El alcance PCI se determina por el número, tipo y ubicación de los componentes del sistema que almacenan, procesan o transmiten datos de los titulares de tarjetas. Ejemplos de componentes del sistema incluyen servidores, endpoints, firewalls y bases de datos. Todos los componentes del sistema que están dentro del alcance de PCI DSS deben seguir los requisitos del estándar para ser conformes.

Una vez que las organizaciones han identificado su alcance PCI, pueden planificar cómo demostrarán el cumplimiento. Ejemplos incluyen implementar medidas de seguridad de datos como cifrado y tokenización, realizar escaneos de vulnerabilidades regularmente y establecer medidas de control de acceso para restringir el acceso solo al personal autorizado. También deben auditar los registros del sistema y mantener diagramas de red actualizados para proporcionar visibilidad de todos los componentes del sistema dentro del alcance de PCI DSS. Además, las organizaciones deben proporcionar capacitación al personal sobre políticas y procedimientos de seguridad, y probar regularmente su plan de respuesta a incidentes.

Cumplimiento PCI y Seguridad SFTP

Cuando tu empresa utiliza datos de clientes internamente por cualquier motivo, aún deben cumplir con las reglas y regulaciones de procesamiento de pagos. Y, típicamente, las empresas utilizan soluciones de uso compartido de archivos conforme a PCI como SFTP.

Afortunadamente, SFTP puede ser parte de una solución conforme a PCI porque proporciona los controles necesarios:

  • Cifrado: Los datos de los clientes deben cifrarse en el servidor y durante la transmisión. SFT proporciona este nivel de cifrado (con la configuración adecuada). Con el uso de SSH, un servidor SFTP configurado correctamente puede proteger los datos de los clientes.
  • Registro de Datos del Servidor y Auditorías: Parte del cumplimiento PCI es tener registros de datos y auditorías en su lugar. Según los requisitos de PCI, debes monitorear el acceso a los datos. Esto incluye tener una política de auditoría y formas de rastrear los registros de auditoría en caso de violaciones.
  • Restricción de Acceso a los Datos: No todos en tu organización necesitan acceso a los datos de los titulares de tarjetas. Las regulaciones establecen que debes tener una forma de restringir las cuentas de usuario según los datos a los que necesitan acceder.
  • Estandarizar Conexiones Entre Máquinas: Las redes de tarjetas esperan que tengas todas estas salvaguardias (y más) presentes en cualquier lugar donde se muevan o almacenen datos. SFTP es una tecnología establecida, fácil de usar y fácil de configurar que puede funcionar entre máquinas POS, escáneres de tarjetas, servidores y estaciones de trabajo.

¿Cuáles Son las Penalidades por No Cumplir con PCI?

Dado que PCI DSS no es un marco federalmente mandado, no enfrentarás las penalidades extremas de otras regulaciones de cumplimiento. Sin embargo, la falta de cumplimiento puede costarte caro y dañar tu reputación con los clientes y las compañías de tarjetas de crédito. Algunas de las penalidades son:

  1. Un Sistema No Seguro: PCI está destinado a promover la seguridad del sistema. Si no estás cumpliendo con el mínimo de los requisitos de cumplimiento, podrías estar exponiendo los datos de tus clientes al robo.
  2. Multas Mensuales: Si deseas procesar tarjetas de crédito, necesitas el apoyo de procesadores de tarjetas de crédito como Visa, Mastercard y American Express. Si no cumples, tomarán algunos pasos antes de prohibirte directamente procesar pagos. Esto incluye la imposición de tarifas mensuales mientras dure la falta de cumplimiento, hasta $5,000-$100,000 por mes.
  3. Cuenta de Comerciante y Reputación del Cliente Dañadas: Si no cumples, podrías enfrentar muchas violaciones. Como todos sabemos por ejemplos como Target o Sony, una violación importante puede convertirse en un gran golpe para la imagen de tu marca. Asimismo, la falta de cumplimiento regular puede afectar tu cuenta de comerciante con los procesadores de tarjetas de crédito debido a una alta tasa de fraude y devoluciones de cargo.

La conclusión es que no quieres dañar tu reputación o pagar multas mensuales solo para procesar datos de tarjetas sin sistemas conformes.

Kiteworks Ayuda a las Organizaciones a Lograr el Cumplimiento PCI con Transferencia Segura de Archivos

El servidor SFTP de Kiteworks permite a las organizaciones proteger números de tarjetas de crédito y otra información de cuentas de clientes cuando la comparten con terceros de confianza, en cumplimiento con PCI DSS 4.0.

A diferencia de otras soluciones SFTP, SFTP está completamente integrado con la plataforma Kiteworks. Esto significa que se beneficia de las características de seguridad, cumplimiento y visibilidad integradas de la plataforma. También ofrece opciones de implementación tanto en las instalaciones como en la nube, y admite configuraciones de escalabilidad y alta disponibilidad. La infraestructura unificada de Kiteworks, la administración, los controles de políticas, el registro y las características de auditoría simplifican el cumplimiento y reducen costos. Este es un diferenciador clave ya que no todas las soluciones SFTP proporcionan capacidades de cumplimiento y auditoría tan completas.

El SFTP de Kiteworks incluye:

  • Seguridad y Cumplimiento: Kiteworks admite los 12 requisitos de PCI, lo que significa que puedes usar nuestras tecnologías MFT y SFTP (incluyendo transferencias de archivos cifradas y servidores seguros) para el uso compartido y almacenamiento de archivos conforme a PCI. El dispositivo virtual reforzado de Kiteworks te ahorra el tiempo y esfuerzo de reforzar y probar el sistema tú mismo.
  • Visibilidad y Gestión de Datos: El Tablero CISO de Kiteworks te ofrece una visión general de tus datos: dónde están, quién los está accediendo, cómo se están utilizando y si cumplen. Ayuda a tus líderes empresariales a tomar decisiones informadas y a tu liderazgo de cumplimiento a mantener los requisitos regulatorios.
  • Registro de Auditoría: PCI DSS 4.0 requiere registrar eventos en tu sistema. Con los registros de auditoría inmutables de Kiteworks, puedes detectar ataques más pronto y asegurarte de que estás manteniendo la cadena de evidencia correcta para realizar análisis forenses. Dado que el sistema fusiona y estandariza las entradas de todos los componentes, su syslog unificado y alertas ahorran a tu equipo SOC tiempo crucial mientras te ayudan a mantener los requisitos críticos de cumplimiento para la presentación de informes.

Para obtener más información sobre Kiteworks SFTP y cómo puede ayudar a tu organización a demostrar el cumplimiento de PCI DSS 4.0, programa una demostración personalizada de Kiteworks hoy.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks