Incumplimiento de estándares en Latam vulnera datos del consumidor

Akamai logo

  • La adopción del estándar PCI DSS ha sido más lenta en América Latina que en otras regiones del mundo.
  • La normativa PCI DSS juega un papel fundamental para evitar filtraciones de datos dentro de todo el ecosistema de pagos.
  • La Microsegmentación se está convirtiendo en una opción indispensable para el cumplimiento normativo, como PCI DSS.

22 de agosto del 2023,

El estándar PCI DSS (Payment Card Industry Data Security Standard) ha demostrado ser una forma eficaz de proteger los datos de titulares de tarjetas de pago o datos privados de autenticación. Aunque dicha certificación ha sido más lenta en América Latina que en otras regiones del mundo, su implementación debe acelerarse ya que de lo contrario representará una puerta de entrada a la ciberdelincuencia.

Una estimación de la consultora Americas Market Intelligence destacó que para 2022 en América Latina había 99 millones de titulares de tarjetas de crédito, en comparación con 169 millones que son solo titulares de tarjetas de débito y 117 millones que no están bancarizados. Por ello, la normativa PCI DSS juega un papel fundamental para evitar filtraciones de datos dentro de todo el ecosistema de pagos.

Oswaldo Palacios, Senior Account Executive para Akamai, mencionó que el estándar PCI DSS forma parte de los requisitos para transaccionar con tarjetas de crédito, por lo cual bancos e instituciones financieras están obligados a su adopción para garantizar con ello que los datos de los consumidores estén protegidos en todo momento al hacer uso de una tarjeta de débito o crédito.

Para mejorar la seguridad de los datos de los consumidores, varias empresas de tarjetas de crédito, tales como: VISA, Mastercard, Discover, JCB y American Express formaron el Consejo de Normas de Seguridad para la Industria de las Tarjetas de Pago (PCI SSC, por sus siglas en inglés) para garantizar su transparencia de operación. Esto aunado a las regulaciones gubernamentales, han hecho de PCI un “must” para cualquier compañía que transaccione con tarjetas de crédito y débito.

Ante una alta tasa de incidencia de riesgos asociados con el robo de datos, la banca o el sector financiero debe aplicar controles de seguridad eficientes y sólidos cuando se trata de salvaguardar los datos de las tarjetas bancarias. Latinoamérica es considerada una de las zonas con más fraudes en tarjetas de pago, problema que se agravó con el aumento de sitios de comercio electrónico y la digitalización. Según un estudio de 2022, los comercios en línea de cuatro regiones del mundo declararon haber perdido casi el 3% de sus ingresos por comercio electrónico debido al fraude en los pagos. En particular, América Latina registró una pérdida mayor, del 4,6%, mientras que América del Norte obtuvo la pérdida más baja, del 2,4%.

¿Por qué la banca debe adoptar el estándar PCI DSS?

Aquellas instituciones bancarias que adoptan el estándar PCI DSS logran disminuir el riesgo de sufrir ciberataques o ciberfraudes, lo cual es fundamental cuando se procesan o almacenan datos confidenciales. Otros beneficios son: establecer alianzas comerciales, mejorar la gestión de incidentes de ciberseguridad, otorgar confianza al consumidor, evitar multas y procesos legales.

Al respecto, Oswaldo Palacios resaltó que uno de los motivadores de dicha normativa es proteger a la banca de amenazas como el ransomware, debido a que puede propagarse de una manera tal que pueden evadir controles de ciberseguridad tradicionales como Firewalls, XDR  (detección y respuesta ampliadas)  e IPS  (sistema de prevención de intrusos). Por esto, el estándar ha evolucionado y pide que el alcance de las comunicaciones se reduzca mediante Microsegmentación ya que dicha práctica ayuda a mejorar la postura de ciberseguridad de las organizaciones.

El directivo explicó que PCI DSS pide a las instituciones la reducción del alcance de comunicación en los activos que “tocan” PCI o datos de los tarjetahabientes; dicha acción se puede hacer mediante Microsegmentación, ya que sin generar cambios en la infraestructura se puede realizar una separación de tráfico de Red y accesos no autorizados o innecesarios en infraestructura crítica.

Es importante mencionar que las redes y aplicaciones que están en el ámbito de las normativas PCI DSS son complejas. Pueden abarcar varias máquinas, incluir entornos híbridos como contenedores y máquinas virtuales e incluso trabajar en varias ubicaciones físicas o zonas horarias. La Microsegmentación se está convirtiendo en una opción indispensable para el cumplimiento normativo, como PCI DSS.

También la Microsegmentación permite una visibilidad de todas las aplicaciones y cargas de trabajo a nivel de proceso, además de crear políticas flexibles que se centren en el cumplimiento normativo y aplicarlas para controlar una postura de seguridad general que le permita estar preparado para cualquier auditoría.

Más adelante, el experto de Akamai destacó que el incumplimiento de la normativa puede acarrear consecuencias a las instituciones financieras y bancos, que van desde no poder operar pagos y transacciones con tarjetas de débito y crédito, multas por parte de los gobiernos o reguladores financieros, más el daño reputacional.

Por último, Oswaldo Palacio advirtió que si una institución financiera o banco no cumple con el estándar PCI, no podrá transaccionar con tarjetas de crédito y probablemente su alcance se reduciría a una caja de ahorro o una simple organización que recaba dinero de consumidores para algún fin determinado como el ahorro.