La filtración de esta podría conllevar al hackeo o fraude de la información,
ante esto el Payment Card Industry (PCI) Security Standards Council (SSC),
se compromete a garantizar su seguridad.
Globalmente, tanto instituciones financieras, como aseguradoras y sociedades de gestión de carteras, se manejan bajo los más férreos principios del secreto profesional, con el objetivo de garantizar el buen funcionamiento del sector, cuyo pilar fundamental es la confianza de los clientes, y la protección de sus intereses, así como de su información confidencial: identidad, propiedades, negocios, es decir su vida privada.
Con la finalidad de combatir el fraude, resguardando y unificando criterios a nivel mundial, se crea el PCI Security Standard Council, foro mundial abierto creado por American Express, Discover Financial Services, JCB International, MasterCard and Visa, Inc.; cuyo principal compromiso es la formulación, mejora, almacenamiento, difusión y aplicación constante de las normas de seguridad para la protección de dicha información. Asimismo, sus objetivos se centran en forzar y facilitar a comercios, proveedores de servicios y bancos a reducir el riesgo de fraude con tarjetas de crédito, mediante la protección de las infraestructuras que procesan, transmiten o almacenan datos relativos a tarjetas de crédito.
Por esta razón, las empresas que procesan, almacenan y gestionan la información de los titulares de las tarjetas de crédito o débito, están en la obligación de garantizar la seguridad de dichos datos sensibles, puesto que su filtración puede llevar al fraude y hackeo de los mismos.
¿Quiénes deben cumplirlo?
Cualquier organización que participe en el procesamiento, transmisión o almacenamiento de información de tarjetas de crédito, queda afectada por el cumplimiento de los requerimientos que establece PCI DSS; entidades financieras y de crédito, bancos, cajas de ahorro, entidades comercios, supermercados, autopistas, comercios electrónicos, agencias de viajes, proveedores de servicios, pasarelas de pago, fabricantes de tarjetas, servicios de envío de tarjetas, procesadores de transacciones, entre otros.
Su cumplimiento es imprescindible, sobre todo para comercios y procesadores con más de 6.000.000 de transacciones al año, así como comercios con más de 300.000 transacciones al año, y debe ser desarrollada por una empresa certificada como Asesor de Seguridad Calificado (Qualified Security Assessor “QSA”) por el PCI SSC, certificación que GM Security Technologies (GM Sec Tec), posee. La finalidad del cumplimiento de esta normativa no es otra que la reducción del fraude relacionado con las tarjetas de crédito, así como el incremento de la seguridad de la información confidencial.
Su incumplimiento puede conllevar a consecuencias, como el hackeo o compromiso de los datos de las tarjetas; la destrucción de la reputación de la organización, al producirse una fuga de información; pérdida de ventas y de clientes; sanciones por parte de las marcas, demandas, multas, reclamaciones de seguros o cancelación de cuentas. En una palabra: pérdida, y esta, a todo nivel.
¿Sigue siendo el usuario, el eslabón más débil en la seguridad?
El cibercrimen, de ser una práctica amateur; ha pasado a ser una actividad llevada a cabo por organizaciones, incluso internacionales, dedicadas a ganar millones de dólares a través de estafas electrónicas, fraudes online y captura de datos, así como delitos reputacionales, suplantaciones de identidad, y uso de información confidencial.
Desde los inicios de la internet, se ha atribuido al usuario, el calificativo del eslabón más débil, en materia de seguridad; sin embargo, en la actualidad, y con tendencias con BYOD (bring your own device), internet de las cosas, redes sociales y big data, los usarios, al menos los corporativos, están siendo formados y alertados continuamente sobre los peligros a los que se enfrentan a diario.
Es obligación de las organizaciones, asegurar un entorno seguro para las transacciones de sus clientes, y la manera eficaz es el cumplimiento de la normativa PCI DSS, no sólo para combatir el fraude de los datos de los titulares de las tarjetas y cuentas, sino porque su cumplimiento conlleva a garantizar la seguridad en los sistemas de procesamiento de la información de las operaciones; al crecimiento de la confianza de los clientes y así procurar su fidelización; aumentar las ventas del negocio; contar con un plan de actuación y estrategia de seguridad constante para prevenir violaciones de seguridad.
Aún así, y siendo siempre el factor humano, un lado vulnerable; ahora el foco está en las organizaciones y en el cumplimiento de las normativas y estándares como PCI DSS.
El primer paso, reconocer la vulnerabilidad
Si bien los datos de las tarjetas de crédito y débito, siguen siendo vulnerable, hasta que no se llegue a la total eliminación de la banda magnética, siendo esta sustituida por el chip; el avance logrado en materia de seguridad, sobre todo por la creación y seguimiento de la normativa PCI, es abrumador.
Se ha elevado el nivel de protección jamás pensado analizando la situación en retrospectiva, se han implementado multas astronómicas ante el almacenamiento de data sensible, sin estar cifrada; y, específicamente PCI, ha sentado las bases y el seguimiento de toda una logística, con tiempos de respuesta óptimos y con vulnerabilidades cada vez más difíciles de violentar.
Por Jesús Cortina, Gerente General de GM Security Technologies