Publican guía para proteger los datos PCI en la nube

En respuesta a las dudas sobre si se puede mantener información de tarjetas de pago (PCI) en un servicio cloud, el PCI Security Standards Council señala que sí, pero hacerlo no es sencillo, explicando en una guía las normas de seguridad que las empresas deben cumplir.

"Obviamente, está bien usar la nube, pero queremos que las empresas entiendan los modelos de despliegue". Con estas palabras, Bob Russo, director general del PCI Security Standards Council, explica que los datos de las tarjetas de pago (PCI) pueden ser subidos a la nube con reservas.

Estas reservas vienen explicadas en un documento informativo titulado “Directrices de Cloud Computing PCI DSS", que se adentra en lo que las empresas deben esperar y exigir a su proveedor de servicios cloud en materia de protección de datos PCI sensibles, así como enfatizar la responsabilidad esencial en los datos PCI que la empresa debe aceptar.

La guía no cambia ninguno de los principales estándares de seguridad de datos PCI (PCI DSS) que durante mucho tiempo se vienen aplicando, pero sí entra en detalles acerca de cómo estos controles de seguridad deben aplicarse en entornos de cloud computing, ya sean modelos definidos como infraestructura como servicio, plataforma como servicio o software como servicio. “No sustituyen al estándar", explica Russo, señalando que la guia detalla los requisitos para que un proveedor de cloud diga que es "compatible con PCI”.

Eso no quiere decir que los comerciantes que utilizan sus servicios piensen que su trabajo está hecho, pues, como señala Russo, “el comerciante debe preguntarse qué más se puede hacer para proteger adecuadamente los datos de tarjetas de pago en la nube utilizando los controles seguridad PCI necesarios, tales como sistemas de encriptación, antivirus y de control de acceso, que se detallan en la norma PCI DSS".