Teleperformance Colombia optimiza la gestión de sus propias vulnerabilidades

Qualys PCI demostró ser el método ideal para que Teleperformance Colombia optimizara su labor de cumplimiento con PCI DSS.

Si su empresa se encuentra en América o España y le interesa centrar más sus esfuerzos en la innovación que en ejecutar procesos no esenciales para la empresa, probablemente desee consultar a Teleperformance Colombia. Teleperformance Colombia diseña, implementa y gestiona servicios de optimización de procesos comerciales para la deslocalización de centros de atención , servicios de apoyo administrativo y servicios de software relacionados, para las industrias de las telecomunicaciones; la aeronáutica, el turismo y el transporte; el comercio minorista, la salud y los servicios sociales. Sus agentes atienden y procesan llamadas de toda América del Norte y del Sur, y dentro de Europa.

Teleperformance Colombia se está expandiendo y como ocurre con muchas otras empresas, sus clientes preguntan con mayor frecuencia cómo gestiona su labor de seguridad en torno a la tecnología de la información –así como su cumplimiento del Estándar de Seguridad de Datos de la Industria de las Tarjetas de Crédito (PCI DSS, por sus siglas en inglés) – como parte de su propio proceso de diligencia debida.

“Para muchos de nuestros clientes el cumplimiento con PCI se volvió un requisito contractual. En 2010, tomamos la decisión, como parte de nuestro plan estratégico, de obtener la certificación PCI DSS. Esta medida nos planteó el desafío de establecer todos los procedimientos y controles obligatorios”, señala Carlos Alberto Carrizosa, Director de Seguridad de la Información de Teleperformance Colombia.

El objetivo del estándar PCI DSS es claro: proteger los datos de las cuentas de los titulares de las tarjetas. Y aunque esa meta esté bien definida, no necesariamente es fácil de alcanzar. En la actualidad, PCI DSS exige el cumplimiento permanente de una docena de prácticas de seguridad, como mantener Firewalls, un estricto control de acceso, cifrado de datos y un programa de gestión de vulnerabilidades permanente que garantice que los dispositivos, los sistemas y las aplicaciones se mantengan protegidos y actualizados.

Optimización de los procesos de conformidad con PCI DSS

Las sanciones por incumplimiento pueden ser elevadas. Las empresas que no cumplen con este estándar pueden quedar inhabilitadas para procesar tarjetas de crédito y tener que enfrentar mayores gastos de procesamiento por transacción. Por fortuna, uno de los pasos más importantes es el mantenimiento de un programa de gestión de vulnerabilidades, con la ayuda de la solución correcta, puede mejorarse a través de la automatización. En términos generales, un programa de gestión de vulnerabilidades ayuda a las organizaciones a buscar y actualizar sistemáticamente software desactualizado, errores del sistema y configuraciones erróneas que pueden poner en riesgo la seguridad.

Una parte central de esos procesos consiste en la evaluación constante de vulnerabilidades de todos los sistemas utilizados para el procesamiento, la gestión y el almacenamiento de datos de titulares de tarjetas. Antes de la necesidad de cumplir con la norma PCI DSS, Teleperformance Colombia no tenía implementado ningún método sencillo y eficiente para realizar sus propias auditorías trimestrales específicamente diseñadas para complementar el estándar de pagos seguros.

“Teníamos implementados procesos para actualizar los parches de seguridad a medida que estaban disponibles, pero queríamos ser más eficaces y automatizar lo que pudiéramos”, agregó Carrizosa. Fue en ese momento cuando comenzó a evaluar qué aplicaciones o servicios existían para ayudar a su equipo de seguridad a enfrentar con mayor eficacia ese desafío. “Analizamos las opciones que teníamos y llegamos a la rápida conclusión de que el servicio bajo demanda era uno de los factores clave que estábamos buscando”, afirmó.

Durante la búsqueda, cuando se llegó por el diagnóstico de vulnerabilidades bajo demanda y el cumplimiento con PCI DSS, surgió un nombre. “Nos decidimos por Qualys. Tomamos esa decisión por tres motivos. El primero era el concepto bajo demanda; el segundo el hecho de que Qualys era un evaluador de seguridad certificado (QSA) aceptado para la certificación PCI y el tercero era que nos habían llegado muy buenas recomendaciones de personas cuya opinión respetamos”, destacó Carrizosa.

Certificación PCI: Una prioridad para la empresa

La solución Qualys PCI, ofrecida como un servicio web bajo demanda, tiene el mismo fundamento tecnológico que Qualys Enterprise y es utilizada por organizaciones de todo el mundo para mantener las infraestructuras de tecnología de la información lo más protegidas posible; así como una buena relación costo-beneficio. Debido a que se ofrece como un servicio web, Qualys PCI no requiere ningún software ni infraestructura para implementarse y administrar. Por estos motivos, muchos comerciantes Web y QSA por igual recurren a Qualys PCI en busca del método más preciso y fácil de usar para las pruebas, los informes y el envío de conformidad con PCI. Qualys PCI guía a las organizaciones por el proceso de cumplimiento de PCI DSS en tres pasos, los cuales comprenden el sencillo rellenado en línea del cuestionario de autoevaluación anual de PCI DSS, el análisis de seguridad en red, y el envío automático de los resultados de la evaluación trimestral y el cuestionario anual que validan el cumplimiento.

En los primeros diagnósticos, Qualys PCI descubre una serie de vulnerabilidades que requieren corrección para que se alcance el cumplimiento. “La certificación PCI era una prioridad para la empresa, y el proceso de corrección es muy fluido”, señaló Carrizosa.

Para Teleperformance Colombia, los reportes de Qualys se volvieron imprescindibles para el proceso de corrección de vulnerabilidades. Actualmente, los reportes de vulnerabilidades de Qualys se comparten con los equipos de desarrollo de software y tecnología de la información de Carrizosa y, por otro lado, Carrizosa estableció flujos de trabajo de corrección personalizados para sus equipos. “Hemos dividido las responsabilidades, por lo que podemos identificar quién es el responsable de cada vulnerabilidad. Los hallazgos y reportes de Qualys son esenciales para todo esto”, agregó.

Sobre la base del éxito con Qualys y sobre lo que Teleperformance Colombia aprendió al obtener la certificación PCI DSS, Carrizosa y su equipo están implementando Qualys Enterprise para fortalecer aún más otras áreas de la red interna de la empresa. Parte de esa mayor seguridad comprende la aplicación de nuevas prácticas óptimas dentro de la organización. “Cada vez que se crea un nuevo servidor, el sistema se analiza con Qualys para garantizar que está protegido y actualizado”, afirmó Carrizosa.

Este es sólo otro ejemplo, además de la contribución para alcanzar el cumplimiento con PCI DSS, de la forma en que Qualys ayuda a Teleperformance Colombia a corregir vulnerabilidades en sus redes internas y externas, así como a reducir los riesgos de seguridad de tecnología de la información. “Qualys nos ayuda a preservar siempre la seguridad. Cada vez que reducimos el número de vulnerabilidades, reducimos el riesgo”, apuntó Carrizosa. “El servicio a solicitud de Qualys nos ha resultado muy efectivo”.