16 marzo 2011

Technology Innovation Programme de VISA Europa

Como nos comentaba Jorge, un miembro del grupo 'PCI Spain' de LinkedIn, hace algunos días, VISA relajaba la necesidad de recertificar el cumplimiento de PCI DSS para algunos comercios fuera de los EE.UU., en concreto, a aquellos que hubieran invertido en la implantación de EMV. Claro que como, en un primer momento, solo teníamos información de VISA Internacional había que esperar al comunicado oficial de VISA Europa que es la que manda en esta jurisdicción ;-)

Pues bien, VISA Europa también se ha pronunciado ya al respecto y, aunque su comunicado está en línea con el de VISA Internacional contiene algunas matizaciones a tener en cuenta:
  • La fecha en la que entra en vigor es el 30 de abril, no el 31 de marzo.
  • Pone en valor el 'Prioritised Approach', hasta ahora muy poco utilizado por la industria, al relajar el requerimiento inicial de haber cumplido con el estándar a haber cumplido las etapas 1 a 4 de dicho enfoque o simplemente haber pasado por la primera (eliminación de datos sensibles) y tener un plan acordado con el adquirente para las siguientes tres (protección del perímetro, asegurar las aplicaciones de pago y monitorizar y controlar el acceso a los sistemas).
  • Por contra, endurece las condiciones de acceso al programa, al exigir que sean un 95% las transacciones realizadas con dispositivos con chip, respecto al 75% inicial.
Por lo demás, es lo mismo: Reconocimiento de que la implantación de EMV reduce el valor de los datos (como ya anticipábamos al comentar EMV), impedir el acceso al programa a los comercios que hayan sufrido algún compromiso de datos, exigir la implantación y prueba de un Plan de Respuesta a Incidentes (pdf) y recomendar el cifrado de campos de datos y la tokenización.

Para mí, hay algunos puntos sobre esta noticia que merecen, al menos, una reflexión:

  • Primero, traslada la sensación de que cumplir con el estándar no es realmente necesario, al considerar, que los 4 primeros pasos del enfoque priorizado son "suficientes".
  • Segundo, y a mi entender más preocupante: Creo que este planteamiento no soluciona, para nada, el problema subyacente. Me explico: Mientras que existan comercios en los que se pueda operar utilizando los datos sensibles (PAN, nombre y fecha de caducidad) creo que sigue siendo necesario protegerlos. Con la medida adoptada, lo único que hacemos es que vuelva a ser más fácil que existan repositorios de datos sensibles de autenticación al eliminar la obligación de que un tercero independiente verifique la existencia de dicha información en las redes del comercio.
  • Y tercero, si se sigue reduciendo la obligación de realizar auditorías in situ, ¿hasta cuándo será rentable homologarse como QSA, considerando el alto coste en recursos y fondos necesarios? [el coste para operar en Europa homologando 2 profesionales es de 19.000 USD el primer año y 10.000 USD en años sucesivos]

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

07 marzo 2011

El precio del riesgo

Me ha llamado la atención las declaraciones de ayer en Cinco Días del responsable de banca de consumo de Citibank para España y Bélgica, Joel Korneich, sobre los cambios que ha sufrido el banco tras su rescate por el Gobierno de EE.UU. (32.500 millones de dólares inyectados, nada menos). Básicamente han sido dos las frases que querría resaltar, además del titular de la entrevista ("No se debería dar bonus a quien asuma riesgos altos"):

"La experiencia ha hecho que nos concentremos más en la gestión del riesgo y en la estructura de gastos de la empresa"
"Todas las áreas de los bancos tendrían que restringir su ambición y su riesgo"

Aunque suena muy bien, la verdad es que no encaja con el cortoplacismo instaurado en todos los ámbitos de nuestra sociedad actual, tanto en la política, como en la economía o en el ámbito privado. 

Para abordar realmente el problema y que las empresas no asuman riesgos excesivos (y esto aplica tanto para prácticas de negocio, como para la gestión de la seguridad) la solución debe pasar porque los usuarios y los negocios paguen por el coste real de lo que consumen y producen (al estilo de lo que propone Don Tapscott en MacroWikinomics para abordar el cambio climático y los productos ecológicos).

Es decir, los productos y servicios que no implantaran mecanismos de seguridad deberían incorporar el coste de los perjuicios que estarían creando (difusión de malware, vulneración de la privacidad de las personas, etc.) de forma que aquellos productos y servicios que sí estuvieran actuando de manera segura fueran competitivos. De esta forma, el propio mercado regularía esta situación, penalizando las actitudes demasiado arriesgadas para la sociedad en su conjunto.

Mientras esto no sea posible y las conductas arriesgadas sigan siendo rentables, va a ser difícil que lo que Joel nos propone pueda tener continuidad en el mundo actual: Los comportamientos arriesgados serán más rentables y serán los que subsistan en nuestra economía de mercado.

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?


05 marzo 2011

También he estado en la rooted2011

Como siempre, todo un lujo... ponentes alucinantes, organización fresca y diferente y una gran afluencia de congresistas... espero que también acepten mi paper para la rootedCON de 2012.


Por el momento, os dejo con la presentación que utilicé este año. Espero que os resulte interesante:


... ¿Todavía no me sigues en twitter.com/antonio_ramosga?