El PCI Security Standards Council (PCI SSC) ha publicado el informe "PCI DSS Cloud Computing Guidelines Information Supplement", de gran importancia para el Cloud Special Interest Group (SIG).
En respuesta a las dudas sobre si se puede mantener información de tarjetas de pago (PCI) en un servicio cloud, el PCI Security Standards Council señala que sí, pero hacerlo no es sencillo, explicando en una guía las normas de seguridad que las empresas deben cumplir.
La guía no cambia ninguno de los principales estándares de seguridad de datos PCI (PCI DSS) que durante mucho tiempo se vienen aplicando, pero sí entra en detalles acerca de cómo estos controles de seguridad deben aplicarse en entornos de cloud computing, ya sean modelos definidos como infraestructura como servicio, plataforma como servicio o software como servicio. "No sustituyen al estándar", explica Russo, señalando que la guia detalla los requisitos para que un proveedor de cloud diga que es "compatible con PCI". Eso no quiere decir que los comerciantes que utilizan sus servicios piensen que su trabajo está hecho, pues, como señala Russo, "el comerciante debe preguntarse qué más se puede hacer para proteger adecuadamente los datos de tarjetas de pago en la nube utilizando los controles seguridad PCI necesarios, tales como sistemas de encriptación, antivirus y de control de acceso, que se detallan en la norma PCI DSS".
Net Security (08-02-2013)
