Enfoque en el comercio minorista: seguridad de la información y privacidad de los datos

Según la Oficina de Estadísticas Nacionales, en noviembre de 2023, El 30% de todas las ventas minoristas en Gran Bretaña se realizaron onlinemi. Mientras tanto, un informe de la empresa de seguridad Sophos descubrió que dos de cada tres empresas del sector minorista informó ataques de ransomware en 2022. Con tantos consumidores comprando en línea, los datos de los clientes son un premio tentador para los piratas informáticos que pueden beneficiarse de la venta o el uso indebido de esos datos.

Además de las crecientes amenazas cibernéticas, los minoristas deben cumplir con múltiples regulaciones de ciberseguridad. Estas regulaciones y el riesgo de ataques de actores amenazantes significan que la ciberseguridad minorista debe estar en la mente de las marcas.

¿Cómo se pueden cumplir las mejores prácticas de ciberseguridad minorista frente a los avances tecnológicos, las regulaciones estrictas y las amenazas cibernéticas?

Las ciberamenazas que enfrenta el sector minorista

El primer paso para garantizar la resiliencia de la seguridad de la información es comprender los desafíos de ciberseguridad que podría enfrentar su empresa. La ciberseguridad minorista enfrenta una variedad de amenazas que abarcan desde ciberataques intencionales hasta fallas de seguridad accidentales.

Phishing

En un intento de phishing, los ciberdelincuentes se hacen pasar por personas o empresas de confianza para convencer a la víctima de que revele información personal, como contraseñas, que luego puede usarse para acceder a cuentas y datos confidenciales de los clientes. Un informe de Zscaler ThreatLabz descubrió que la industria minorista experimentó un aumento del 436% en ataques de phishing de 2020 a 2021.

Ataques a puntos de venta

En los ataques a puntos de venta (POS), los atacantes aprovechan la débil seguridad de la red instalando malware malicioso en los sistemas utilizados para realizar transacciones financieras. Con este malware, los ciberdelincuentes pueden robar fácilmente los datos de pago de los clientes, incluidos los datos de las tarjetas de crédito, de los sistemas de pago.

Ransomware

El ransomware es un malware diseñado para impedir que una organización acceda a sus sistemas cifrando sus datos y exigiendo un rescate.

Sofos Estado del ransomware en el comercio minorista 2023 El informe encontró que el 69% de las organizaciones minoristas enfrentaron ataques de ransomware en 2023, una disminución con respecto al 77% en 2022. Sin embargo, el 71% de esas organizaciones afirmaron que los atacantes habían cifrado sus datos con éxito y solo uno de cada cuatro (26%) de los minoristas los detuvo. ataques antes de que sus datos fueran cifrados.

Ataques a la cadena de suministro

Ataques a la cadena de suministro apuntar a los minoristas centrándose en las vulnerabilidades en sus cadenas de suministro, generalmente a través de proveedores con seguridad débil que tienen acceso al software o sistemas de los minoristas. Utilizando estos terceros, los ciberdelincuentes se infiltran en el sistema o la red del minorista objetivo para acceder a datos confidenciales.

¿Cuáles son los estándares y regulaciones de seguridad de la información crítica en el comercio minorista?

Una vez que comprenda los riesgos que enfrentan las organizaciones minoristas, el siguiente paso es analizar la gran cantidad de estándares y regulaciones que su organización debe conocer y cumplir. Dependiendo de dónde opere y a qué clientes atienda, puede haber mucho que considerar; A continuación se muestra un resumen de los principales que los minoristas deben considerar.

El Reglamento general de protección de datos (GDPR)

Los minoristas y las empresas de comercio electrónico deben seguir el Reglamento General de Protección de Datos (GDPR) de la UE al recopilar y manejar datos de clientes europeos, independientemente de si son una organización con sede en la UE o no. El RGPD exige que las empresas obtengan un consentimiento claro y afirmativo al recopilar información personal como nombres, detalles de contacto, historiales de compras y cualquier dato utilizado para elaborar perfiles de comportamiento o con fines publicitarios dirigidos.

Específicamente, se requiere un aviso transparente y un consentimiento explícito para procesar los datos personales de los clientes para publicidad conductual. Esto incluye la creación de perfiles que analicen o predigan preferencias personales, intereses, hábitos de gasto y otras características. Las empresas deben explicar claramente que se está llevando a cabo este tipo de procesamiento y permitir que los clientes elijan si están de acuerdo.

Las empresas también deben proporcionar a los clientes acceso a su información personal almacenada y permitirles corregir errores de eliminación cuando lo soliciten. Las políticas de privacidad fáciles de entender deben explicar qué datos recopila un minorista y cómo los utiliza. Las transferencias internacionales de datos de clientes fuera de la UE también se rigen por normas estrictas. Además, las empresas más grandes deben nombrar responsables de protección de datos para supervisar el cumplimiento del RGPD en todas sus operaciones.

Si un minorista experimenta una violación de datos que pueda poner en riesgo los derechos y libertades de los clientes, los minoristas deben notificar a su autoridad de protección de datos sin demoras indebidas. En algunos casos, es posible que también necesiten comunicar detalles de la infracción directamente a las personas afectadas. Por lo tanto, establecer procedimientos sólidos de detección, investigación y divulgación de infracciones es una obligación fundamental de cumplimiento del RGPD para los minoristas.

Ley de Privacidad del Consumidor de California (CCPA)

La CCPA cubre empresas con fines de lucro que cumplen ciertos umbrales, como tener más de $25 millones en ingresos anuales o comprar/vender datos personales de más de 50,000 consumidores de California anualmente.

Para los minoristas y tiendas en línea que cumplen con estos umbrales, la CCPA exige transparencia, divulgaciones y derechos adicionales en torno a los datos personales de los consumidores de California. Las empresas deben revelar qué tipos de información personal recopilan y cómo se utiliza. Se debe permitir a los consumidores optar por no vender sus datos a terceros.

Los minoristas también deben implementar procedimientos de seguridad razonables como cifrado, controles de acceso, detección de intrusiones y pruebas periódicas para proteger estos datos contra violaciones o uso indebido. Si una empresa sufre una infracción que afecta a más de 500 residentes de California, debe notificar a los consumidores de inmediato. No tener una seguridad razonable o no notificar adecuadamente a los consumidores violados puede resultar en fuertes sanciones civiles según la CCPA.

Con California a la cabeza en leyes de privacidad digital, la CCPA señala un cambio significativo para los proveedores de comercio electrónico, las empresas de tecnología de marketing, las cadenas minoristas tradicionales y otros líderes minoristas en los Estados Unidos. Virginia, Colorado, Utah y Connecticut introdujeron leyes similares que entrarán en vigor en 2024.

Muchos otros estados también tienen leyes de notificación de infracciones que exigen notificar al consumidor si una filtración de datos afecta a los residentes de ese estado. Por lo tanto, los minoristas deben cumplir con las leyes de privacidad estatales en rápida evolución en gran parte del país, además de la CCPA en California.

La Ley Gramm-Leach-Bliley (GLBA)

Muchos minoristas ofrecen a los clientes productos y servicios financieros como tarjetas de crédito, programas de financiación y programas de recompensas por fidelidad. Según la Ley federal Gramm-Leach-Bliley (GLBA) de EE. UU., los minoristas que ofrecen este tipo de ofertas financieras deben cumplir con requisitos estrictos en materia de transparencia, privacidad de datos y seguridad.

Específicamente, GLBA requiere que los minoristas revelen claramente sus prácticas de recopilación e intercambio de información directamente a los clientes. En muchos casos, las empresas deben permitir que los consumidores opten por no compartir datos con terceros.

Los minoristas también deben implementar controles y salvaguardas estrictos para proteger los datos de los clientes. Esto incluye designar un coordinador de seguridad, realizar evaluaciones de riesgos, utilizar tecnologías de cifrado y eliminar adecuadamente los registros. Lo más importante es que GLBA establece requisitos de cumplimiento en caso de una violación de datos, incluida la notificación inmediata a los clientes afectados. Con las vulnerabilidades de datos y los ataques cibernéticos en aumento a nivel mundial, la adhesión de GLBA es crucial para que los minoristas centrados en servicios financieros mantengan la confianza de los clientes y eviten acciones de cumplimiento regulatorio.

Directiva de seguridad de la información y las redes (NIS2)

NIS2 tiene como objetivo establecer un mayor nivel de ciberseguridad y resiliencia dentro de la UE con obligaciones de ciberseguridad más sólidas. Designa específicamente los mercados en línea, los motores de búsqueda, los servicios en la nube y más como entidades "esenciales" o "importantes" que serán reguladas a partir de octubre de 2024. Esto significa que muchos minoristas y empresas de comercio electrónico como Amazon, Shopify y eBay caerán. bajo el alcance de NIS2. Las empresas minoristas que prestan servicios críticos como pagos y logística también pueden estar incluidas en el NIS2.

Según NIS2, los minoristas cubiertos deben evaluar exhaustivamente los riesgos para sus sistemas, aplicaciones, redes y datos de TI. Esto significa evaluar:

• Seguridad de infraestructura
• Vulnerabilidades de software
• Amenazas internas
• Riesgos de proveedores/vendedores externos

 

En función de los riesgos identificados, los minoristas tendrán que justificar la implementación de medidas de ciberseguridad como la autenticación multifactor (MFA), el cifrado de datos en tránsito y en reposo, la copia de seguridad periódica de los datos, las pruebas de penetración continuas y el escaneo de vulnerabilidades, así como las tecnologías y procesos. para la detección de amenazas, respuesta a incidentes y gestión de riesgos de la cadena de suministro.

NIS2 también crea requisitos vinculantes de notificación de incidentes cibernéticos para los minoristas. En caso de una infracción o un ciberataque que afecte materialmente las operaciones o la disponibilidad de datos, deben notificar a las autoridades nacionales de cada estado de la UE en el que operan y comunicar de manera proactiva los detalles a los clientes afectados.

Con intrincadas cadenas de suministro digitales y flujos de datos, los principales minoristas a nivel mundial deberían prepararse ahora para las amplias obligaciones de ciberseguridad de NIS2 vinculadas a sus conexiones con la zona económica de la UE. La preparación avanzada ayudará a las principales marcas a desarrollar resiliencia y, al mismo tiempo, evitará acciones de cumplimiento disruptivas.

El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS)

Cualquier comercio minorista que acepte tarjetas de crédito populares o procese pagos electrónicos deberá cumplir con las Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS). Considerado uno de los protocolos de seguridad de datos globales más adoptados, PCI DSS es un conjunto de controles técnicos y de políticas administrados por el PCI Security Standards Council para salvaguardar la información confidencial de los titulares de tarjetas y los datos de transacciones.

Específicamente, los minoristas que procesan pagos deben demostrar el cumplimiento implementando:

• Encriptado de fin a fin
• Mantener sistemas y aplicaciones seguros según la guía PCI
• Restringir el acceso a los datos de pago
• Creación de cortafuegos en torno a los entornos de los titulares de tarjetas
• Proteger la infraestructura de TI con protecciones antimalware.

Los minoristas también deben realizar análisis de vulnerabilidades externos e internos, realizar pruebas de penetración, establecer procedimientos de respuesta a incidentes, monitorear a todos los proveedores externos y someterse a auditorías de cumplimiento anualmente o trimestralmente, según el volumen de transacciones.

En marzo de 2022, PCI-DSS se actualizó de la versión 3.2.1 a la versión 4.0, centrándose en mantener la seguridad continua y mejorar los procesos de validación de pagos. Las organizaciones tienen hasta el 31 de marzo de 2024 para adoptar la versión actualizada, con un plazo de 18 meses para lograr el cumplimiento total en marzo de 2025.

PCI DSS v4.0 consta de 12 requisitos organizados en seis categorías, que incluyen:

• Mayor enfoque en la seguridad como un proceso continuo
• Más flexibilidad en cómo las organizaciones pueden alcanzar sus objetivos de seguridad
• Nuevos requisitos para los proveedores de servicios, incluido el uso de autenticación multifactor y la implementación de una arquitectura de confianza cero.
• Requisitos revisados ​​para el desarrollo de software, incluidas prácticas de codificación segura y el uso de herramientas automatizadas para escaneo de vulnerabilidades y pruebas de penetración.
• Reglas más estrictas para la gestión de contraseñas, incluido el uso de frases de contraseña y la prohibición de ciertos tipos de contraseñas.
• Fomentar un cifrado más sistemático y eficaz, incluido el apoyo a la introducción de la criptografía cuántica segura.

 

Los 12 controles dentro de PCI DSS 4.0 se han actualizado para mantenerse al día con los cambios en la industria y las tácticas cibercriminales.

Las consecuencias de las malas prácticas de seguridad de la información y los datos en el comercio minorista

No tomarse en serio la seguridad de la información y la privacidad de los datos puede afectar profundamente a los minoristas, los proveedores de comercio electrónico y las organizaciones comerciales.

El resultado financiero del incumplimiento 

Todas las regulaciones y estándares destacados en este blog vienen con sanciones financieras por incumplimiento. Las empresas que violen el RGPD se enfrentan a sanciones estrictas y pueden recibir multas de hasta 20 millones de euros o el 4% de los ingresos globales, lo que sea mayor. Además de esto, los individuos (interesados) pueden reclamar una indemnización por daños y perjuicios.

Una empresa que infrinja PCI-DSS puede recibir una multa de entre 5,000 y 100,000 dólares al mes (aproximadamente entre 4,000 y 80,000 libras esterlinas), dependiendo del tamaño de la empresa y de la duración y el alcance del incumplimiento.

Además, el banco puede imponer otras sanciones, como aumentar las tarifas de transacción o terminar la relación por completo. Se pueden imponer multas adicionales, que aumentan con el tiempo, por infracciones repetitivas.

Las empresas que violen la GLBA se enfrentan a multas de hasta 100,000 dólares por infracción, y las personas a cargo de estas empresas pueden recibir una multa de 10,000 dólares por infracción, con hasta cinco años de prisión.

NIS 2 viene con requisitos de aplicación mucho más estrictos que su predecesor. Las sanciones por no conformidad van desde una auditoría de seguridad y la orden de seguir recomendaciones establecidas hasta multas de 10 millones de euros o el 2% de la facturación mundial total de la organización, lo que sea mayor.

La sanción civil máxima por una infracción involuntaria de la CCPA es de 2,500 dólares por infracción. Para violaciones intencionales, la multa máxima es de $7,500 por incumplimiento. Los montos máximos de la multa parecen relativamente modestos, pero si se determina que una empresa ha cometido intencionalmente miles o incluso cientos de miles de violaciones intencionales, por ejemplo, al no cumplir con los requisitos de exclusión voluntaria de la CCPA, el monto total podría ser enorme.

La CCPA también permite a los consumidores reclamar $750 por consumidor por incidente o reclamar daños reales cuando se pueda demostrar que la pérdida se produjo debido al incumplimiento.

Como puede ver, las implicaciones financieras del incumplimiento pueden ser significativas y tener un impacto a largo plazo en los resultados y la rentabilidad a largo plazo de una empresa.

La reputación lo es todo 

El incumplimiento va más allá de las implicaciones financieras más obvias e incluye:

Daño reputacional: Una violación de datos personales puede causar un daño significativo a la reputación de una organización, provocando una pérdida de clientes y una disminución de la confianza. El impacto negativo en la reputación de una empresa puede tardar años en repararse.

Demandas: Las organizaciones pueden enfrentar demandas de personas cuyos datos personales han sido violados, lo que genera mayores sanciones financieras y daños a la reputación.

Disminución de la confianza del cliente: Cuando se violan los datos personales, los clientes pueden perder la confianza en la organización, lo que resulta en una menor participación del cliente y potencialmente daña la marca y la reputación de la organización.

Disminución del valor de las acciones: Las violaciones de datos pueden dañar el valor de las acciones de una empresa a medida que los inversores se preocupan por posibles sanciones financieras y daños a la reputación.

Mayor escrutinio por parte de los organismos reguladores: Las organizaciones que experimentan frecuentes violaciones de datos o problemas de incumplimiento pueden enfrentar mayores auditorías e investigaciones por parte de agencias reguladoras. La organización corre el riesgo de que se impongan regulaciones aún más estrictas si los problemas persisten.

Un enfoque basado en estándares para la ciberseguridad minorista

La adopción de un marco de seguridad de la información establecido es una de las formas más efectivas en que los minoristas pueden garantizar a sus clientes y socios que cuentan con bases de seguridad sólidas. El ISO 27001 framework es un estándar internacional reconocido globalmente para sistemas de gestión de seguridad de la información (SGSI) que proporciona un enfoque sistemático y basado en riesgos para proteger los activos de información confidencial.

Al implementar el marco ISO 27001, los minoristas pueden crear un enfoque integral de gestión de seguridad de la información que incluya políticas, procedimientos, controles y prácticas de gestión de riesgos para proteger contra posibles amenazas y vulnerabilidades de seguridad y garantizar la seguridad de los datos de sus clientes y la evidencia de sus capacidades. .

Algunos de los requisitos básicos de ISO 27001 permitirán a las organizaciones demostrar altos niveles de confianza digital, incluidos:

Adoptar un enfoque basado en riesgos: El marco ISO 27001 requiere que las organizaciones identifiquen y evalúen los riesgos para sus activos de información e implementen controles apropiados para mitigar esos riesgos. Este enfoque garantiza que las medidas de seguridad de la información se adapten a los riesgos y necesidades específicos de la organización, lo que ayuda a generar confianza con los clientes y las partes interesadas.

Garantizar el cumplimiento de las regulaciones: El marco ISO 27001 está diseñado para ayudar a las organizaciones a cumplir con diversos requisitos reglamentarios relacionados con la seguridad de la información, incluidas las leyes de protección de datos, regulaciones de privacidad y regulaciones específicas de la industria. Las organizaciones pueden generar confianza con los reguladores y otras partes interesadas demostrando el cumplimiento de estas regulaciones.

Permitir la mejora continua: El marco ISO 27001 enfatiza la necesidad de un monitoreo, revisión y mejora continua del sistema de gestión de seguridad de la información. Al mejorar continuamente sus medidas de seguridad, las organizaciones pueden demostrar su compromiso con la protección de la información confidencial y generar confianza con las partes interesadas.

Gestión eficaz de proveedores externos: La certificación ISO 27001 es reconocida globalmente como una validación del sistema de gestión de seguridad de la información de una organización. Al obtener la certificación, las organizaciones pueden demostrar a los clientes, socios y otras partes interesadas que han implementado un sistema de gestión de seguridad de la información integral y eficaz.

PCI-DSS e ISO 27001:2022

Curiosamente, muchos principios PCI-DSS se pueden asignar directamente a ISO 27001, creando la oportunidad de adoptar un enfoque integrado que puede ofrecer beneficios de costos y eficiencias operativas, reduciendo los recursos necesarios al centrarse en los requisitos compartidos de los marcos.

Otros beneficios incluyen mejorar la postura general de seguridad contra una gama más amplia de amenazas al explotar las fortalezas de ambos estándares para identificar y llenar los vacíos. En última instancia, la perspectiva integrada facilita la mejora continua a través de revisiones periódicas y una mejor adaptabilidad a las amenazas emergentes.

Hemos creado una guía práctica que describe este enfoque para el cumplimiento simultáneo de ISO 27001 y PCI-DSS v4, a la que puede acceder aquí: Asignación del marco PCI-DSS v4 a la ISO 27001:2022 actualizada

Adopte una postura segura frente a las amenazas a la ciberseguridad del comercio minorista

A medida que el panorama minorista continúa cambiando en línea, la ciberseguridad debe ser una máxima prioridad para los minoristas de todos los tamaños. Entre las crecientes amenazas cibernéticas, regulaciones complejas como GDPR y PCI DSS y los riesgos para la reputación de las filtraciones de datos, las marcas minoristas tienen mucho en juego cuando se trata de proteger los datos de los clientes.

Los minoristas deben tomar medidas críticas para implementar controles de seguridad sólidos, alcanzar estándares mundialmente reconocidos como ISO 27001 y adoptar un enfoque integrado para cumplir con las obligaciones de cumplimiento. Seguir las mejores prácticas de ciberseguridad y aprovechar las tecnologías avanzadas ayudará a proteger los sistemas y datos confidenciales.

Lo más importante es que los minoristas deben hacer de la resiliencia cibernética un proceso continuo en lugar de un proyecto único. A medida que las amenazas y las regulaciones evolucionan, también deben hacerlo las ciberdefensas. Al hacer de la seguridad de la información un debate habitual en las juntas directivas y dedicar recursos adecuados, los minoristas pueden convertirse en administradores más seguros y confiables de los datos de los clientes. Las consecuencias financieras, legales y de reputación de la inacción son demasiado importantes para ignorarlas.

Fortalezca su cumplimiento hoy

Si está buscando comenzar su viaje hacia el cumplimiento de PCI-DSS V4, podemos ayudarlo.

Nuestra solución ISMS permite un enfoque simple, seguro y sostenible para PCI-DSS y la gestión de la información con ISO 27001 y más de 100 marcos más. Descubra su ventaja competitiva hoy.

Agenda una Demostración