Nueva normalidad comercial hace crítico el cumplimiento de normas PCI DSS
Por: Walter Cervoni, Chief Technology Officer de GM Sectec
Tras el largo período de cuarentena, el trabajo remoto y la escalada de las transacciones digitales han expuesto aún más la integridad de los datos a fraudes y accesos no autorizados. Allí es cuando las normas PCI DSS ofrecen herramientas para una cultura de seguridad y protección de datos.
En medio de la crisis sanitaria por la pandemia de COVID-19, y avanzados como estamos en la experiencia de cuarentena y distanciamiento social, varias prácticas coyunturales en los negocios comienzan a ser asumidas como tendencias irreversibles a la luz de la lejanía previsible de un hallazgo médico efectivo que surja como vacuna contra el virus.
Entre tales tendencias: el trabajo remoto a través de la práctica del home office o del despliegue de plataformas para equipos virtuales, el auge del comercio electrónico en categorías de consumo básico (alimentación, farmacia, cuidado personal), la masificación en el uso de aplicaciones de servicios de delivery para la adquisición de productos que no están disponibles en canales digitales, y una dramática escalada en el uso de medios de pago electrónicos sin contacto: tarjetas de débito y crédito con tecnología NFS, monederos electrónicos, y códigos QR.
La velocidad con la que se están produciendo los cambios en el comportamiento de los consumidores latinoamericanos ronda el vértigo. Según Visa, en el primer trimestre de 2020 más de 13 millones de sus tarjetahabientes realizaron una transacción de comercio electrónico por primera vez. En las primeras semanas de la cuarentena en Latinoamérica, dos de cada 10 usuarios de la tarjeta de crédito realizaron compras en línea por primera vez, según el estudio.
Por otra parte, datos de Mastercard evidencian un crecimiento de más del 40% en las transacciones sin contacto en todo mundo durante en el primer trimestre del año. Además, el 80% de las transacciones sin contacto fueron por menos de 25 dólares, un rango que generalmente está dominado por el efectivo. América Latina y el Caribe, una región menos avanzada con respecto a la penetración de la tecnología sin contacto, vio un crecimiento exponencial en transacciones sin contacto de hasta un 500% al cierre de marzo con relación al año anterior.
Para los comerciantes que procesan, almacenan y transmiten información de tarjetas de crédito, el cumplimiento del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) nunca ha sido tan crítico para garantizar la seguridad sobre los datos en estos escenarios emergentes de transacciones electrónicas.
Normas PCI DSS para dotar de seguridad a las transacciones
Payment Card Industry Data Security Standard (PCI DSS), es un estándar de seguridad de información patentado que fue establecido en 2004 por las principales marcas de tarjetas de crédito. Los estándares se aplican a las organizaciones que manejan las principales tarjetas de crédito, incluidas Visa, MasterCard, American Express, Discover y JCB. El PCI DSS no cubre las tarjetas de etiqueta privada, como las tarjetas de crédito de tiendas por departamentos, que no están asociadas a una franquicia internacional de tarjetas de crédito.
La actualización y seguimiento de las normas PCI DSS son tuteladas por el PCI Security Standards Council, que ha emitido sendas guías para la normalización de auditorías de cumplimiento y también para la implementación de procesos de gestión segura de los datos sobre tarjetas de crédito en entornos de trabajo remoto, cómo pueden ser equipos de calls center remotamente distribuidos.
Paro los comercios, no ser compatible con PCI podría exponer sus sistemas a un robo de datos. En 2019, el costo promedio por robo de datos en los EE. UU. Superó los 8 millones de dólares, según un informe de IBM. Para la mayoría de las pequeñas empresas, eso significa cerrar las puertas. También hay multas por parte de las marcas de tarjetas que en los Estados Unidos pueden alcanzar los 100,000 dólares por incidente. El monto de la multa depende del volumen de transacciones de una empresa, la cantidad de requisitos de PCI DSS robados y otros factores.
El PCI DSS consta de pasos de sentido común que coinciden con las mejores prácticas de seguridad de datos ampliamente aceptadas. Los objetivos de los estándares PCI DSS son ayudar a los comerciantes a procesar de forma segura las transacciones con tarjeta de crédito y prevenir el fraude.
A continuación, se detallan sus 12 requisitos fundamentales:
Construir y mantener una red segura
- Instalar y mantener una configuración firewall para proteger los datos.
- No usar contraseñas o valores predeterminados suministrados por los proveedores.
Proteger los datos de los titulares de las tarjetas
- Salvaguardar la información personal de los propietarios de las tarjetas.
- Cifrar la transmisión de datos e información confidencial de los titulares a través de redes públicas abiertas.
Establecer un programa de gestión de vulnerabilidades
- Actualizar y activar el programa antivirus de forma regular.
- Desarrollar y mantener sistemas y aplicaciones seguras.
Crear medidas sólidas de control de acceso
- Limitar el acceso a la información únicamente a las empresas que lo necesiten.
- Asignar una identificación única a cada persona con acceso al sistema.
- Restringir el acceso físico a los datos solo a los propietarios de la tarjeta.
Monitorizar y testar regularmente las redes
- Rastrear y monitorizar el acceso a los recursos de red y datos del titular.
- Realizar pruebas habituales en los sistemas y procesos de seguridad.
Mantener una política de seguridad de la información actualizada
- Crear una política que contemple y mantenga actualizada los aspectos relacionados con seguridad de la información.