Lo creáis o no, cada vez que hacéis una compra con una tarjeta de crédito, comienza un proceso que concluirá con el cargo en la cuenta de lo que habéis comprado. No me liaré en esta ocasión a contaros como se lleva a cabo las transacciones con tarjeta de crédito, aunque sí os diré que en muchos casos interviene más de una empresa en el proceso. Ya las tarjetas de crédito no son más que un número asociado al nombre del titular, fecha de expiración y algún dato más y al cambiar de mano en el proceso de pago, cabe preguntarse si no sería fácil robar esos datos de una de las compañías por las que transitan estos datos y darles el uso que le venga a uno en gana, tal como un viaje al Caribe o una nueva casa.
Para dar una solución a este problema, Visa y Mastercard crearon un fórum de empresas del sector, denominado PCI (Paymente Card Industry) para el continuo desarrollo, diseminación e implementación de estándares de seguridad para la protección de los datos anteriormente mencionados. El estándar que crearon se denomina PCI-DSS, y en la actualidad se encuentra en su versión 1.1. Dicho estándar consta a un nivel muy básico de doce puntos que cada una de las empresas que tratan con los datos no sólo deben de cumplir, si no que además han de demostrar anualmente ante un auditor. Y es ahí donde, como responsable de seguridad, entro yo en juego, ya que tengo que asegurarme antes de que llegue el auditor que cumplimos con las reglas de PCI-DSS.
He de decir que la seguridad en la compañía donde trabajo es muy buena, y no porque sea yo el encargado de la misma, empecé hace una semana nada más y ya lo era cuando llegué :), si no porque es una de las principales preocupaciones de la gerencia, seguramente porque alguna de sus transacciones pasa por nuestro sistema y temen que les defrauden, o tal vez porque la multa que imponen Visa y Mastercard por un fallo de seguridad asciende a una muy cuantiosa cifra.
lunes, 22 de octubre de 2007
domingo, 14 de octubre de 2007
Comenzando
Quería comenzar este blog paralelamente a mi comienzo en una nueva singladura profesional. Ya que a partir del lunes voy a ser el responsable de seguridad informática en una empresa dedicada a procesar transacciones de tarjetas de crédito, me pareció una buena idea compartir con un público más amplio mis andaduras dentro de este mundillo. Como entre mis funciones están la de implementar PCI DSS e ISO 27001, podéis esperar entradas referentes a ambos estándares, así como a nuevas vulnerabilidades y técnicas para mitigarlas.
Pero no esperéis únicamente entradas relativas al mundo de la seguridad. Como buen español residente en el extranjero un poco viajero, os iré contando un poco más de la ciudad dónde resido actualmente, Dublín, y de mis viajes.
Pero no esperéis únicamente entradas relativas al mundo de la seguridad. Como buen español residente en el extranjero un poco viajero, os iré contando un poco más de la ciudad dónde resido actualmente, Dublín, y de mis viajes.
Suscribirse a:
Entradas (Atom)