En este artículo encontrarás:
Décadas atrás se decía que los criminales robaban bancos porque "ahí es donde está el dinero". Esta misma lógica aplica en nuestra era digital, donde convierte a los comerciantes en el nuevo target de los fraudes financieros tanto en latinoamérica, como en el mundo.
Y, para evitar que estos delitos lleguen a ser como los casos más emblemáticos, se han elaborado regulaciones de seguridad a modo preventivo internacionalmente como, por ejemplo, la normativa PCI.
¿Quieres saber en qué consiste, las buenas prácticas y cómo preparar a tu empresa? De ser así, lee hasta el final las siguientes líneas, ya que tenemos un contenido valioso preparado para ti.
Normativa PCI: ¿En qué consiste?
El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) son una agrupación de disposiciones de seguridad que contribuyen a las empresas a blindar sus sistemas de pago de infracciones, fraudes y robo de datos de los titulares.
Desarrollado por el PCI Security Standars Council, la normativa PCI DSS es de obligatoria observancia y cumplimiento para todas las compañías que se encargan de procesar, almacenar o transmitir datos de Tarjetas de Crédito (TDC) de los sistemas más reconocidos internacionalmente como: American Express, Discover, JCB, MasterCard y Visa.
Si bien no es un requisito legal, las instituciones financieras a nivel internacional adoptaron el PCI DSS como un estándar genérico, lo que significa que los comerciantes deberán cumplirlo para que los bancos puedan aceptar pagos con tarjeta, ya sea en persona, telefónicamente o en línea.
Incumplimiento: multas y sanciones
El incumplimiento tiene graves consecuencias:
- Las empresas no solo pueden llegar a sufrir multas de hasta USD$ 100.000 mensuales;
- Pueden terminar su relación con la entidad bancaria;
- Sus datos tienen la posibilidad de entrar al sistema del Merchant Alert to Control High-Risk —MATCH—, o Alerta de Comerciante para controlar altos riesgos.
En efecto, no les será permitido procesar pagos con tarjeta.
¿Cómo preparar a la empresa para aplicar la normativa PCI?
Los comerciantes y las organizaciones que almacenan, procesan y/o transmiten datos de titulares de tarjetas deben cumplir con la versión 1.2 de PCI DSS. Si bien el concejo es responsable de administrar los estándares de seguridad de los datos, cada marca mantiene sus propios programas de cumplimiento separados.
Por lo tanto, cada una ha definido requisitos específicos para la validación del cumplimiento y los informes, como disposiciones para la autoevaluación frente al uso de un asesor de seguridad calificado.
Tomando en cuenta la clasificación o el nivel de riesgo de una empresa —determinado por las marcas de tarjetas individuales—, los procesos para validad el cumplimiento y la presentación de informes a las instituciones financieras adquirentes suelen seguir esta metodología:
- Alcance de PCI DSS: determinar qué componentes del sistema se rigen por PCI DSS.
- Muestreo: examinar el cumplimiento de un subconjunto de componentes del sistema en el alcance.
- Controles de compensación: Qualified Security Assessor (QSA) valida las tecnologías o procesos de control alternativos.
- Informes: el comerciante u empresa envía la documentación requerida.
- Aclaraciones: son actualizadas las declaraciones del informe —si corresponde, a solicitud del banco—.
¿Cómo verifican el cumplimiento de la normativa PCI?
Los reportes son el mecanismo oficial mediante el cual los comerciantes y otras organizaciones verifican el cumplimiento de las PCI DSS, ante sus respectivas instituciones financieras adquirentes.
Dependiendo de los requisitos del servicio financiero de la tarjeta, es posible que los comerciantes y proveedores deban enviar una certificación anual de cumplimiento para las evaluaciones in situ.
También es posible que se requiera la presentación trimestral de un informe para escaneo en red. Por último, las marcas de tarjetas individuales pueden solicitar la presentación de otra documentación.
Información contenida en los informes de las PCI DSS
Los informes que se ajusten a la normativa PCI deben contener:
- Resumen de hallazgos: declaración general, detalles de la evaluación de seguridad;
- Información comercial: contacto, descripción comercial, relaciones con el procesador;
- Infraestructura de pago con tarjeta: diagrama de red, diagrama de flujo de transacciones, productos POS utilizados, LAN inalámbricas y/o terminales POS inalámbricos;
- Relaciones externas: enumeración de los proveedores de servicios con los que comparten datos de titulares de tarjetas, conexiones con empresas de pago con tarjetas, entre otros.
Buenas prácticas según la normativa PCI
Entre las buenas prácticas según la normativa PCI encontramos:
1. Transparencia de datos
En la era del "compliance", no solo de PCI DSS, sino también de las regulaciones de protección de datos como la Ley Federal de Protección de Datos en México, saber exactamente dónde están nuestros datos y hacia dónde van son dos requisitos fundamentales.
Después de todo, una empresa no puede proteger algo de lo que no tiene conocimiento.
El tercer requisito de PCI-DSS establece que los datos solo deben almacenarse en ubicaciones específicas y conocidas con acceso limitado para proteger la información de la tarjeta de crédito.
Por lo tanto, las organizaciones deben mapear su flujo de datos y realizar escaneos de red con regularidad para garantizar que la información de la TDC no se haya guardado u olvidado en ubicaciones no permitidas por errores humanos.
Esto se puede hacer a través de soluciones de prevención de pérdida de datos que pueden escanear las redes automáticamente en búsqueda de información de TDC y cifrarla o eliminarla cuando está ubicada en ordenadores de usuarios no autorizados.
2. Seguridad de datos en movimiento
Existen dos maneras en que se pueden proteger los datos en movimiento: cifrado y tokenización.
La tokenización realiza una identificación alternativa para un número de tarjeta que luego se puede utilizar para transacciones, lo que reduce el riesgo de que la información real de la tarjeta quede expuesta durante la transmisión.
En lo que respecta al cifrado, a partir del 30 de junio de 2018, SSL/Early TLS ya no se consideran formas seguras de cifrado y, por lo tanto, no son suficientes para el cumplimiento de la normativa PCI.
Las organizaciones que quieran usar el cifrado para proteger los datos de la tarjeta deberán utilizar TLS v1.2 o superior.
3. Restringir los derechos de acceso
Teniendo en cuenta el requisito 7 de la normativa PCI, el acceso a los datos debe estar restringido únicamente al personal autorizado.
Las empresas deben evaluar cuáles de sus empleados requieren de acceso a los datos de las tarjetas para cumplir con sus responsabilidades y labores, y luego emplear las herramientas y procesos adecuados para limitar el acceso según las necesidades comerciales.
En definitiva, la normativa PCI DSS busca construir y mantener una red segura, proteger datos sensibles de los individuos, mantener un programa de gestión de vulnerabilidades y demás acciones que brinden seguridad tanto para las organizaciones como para los usuarios.
Ahora bien, ¿quieres aprender más sobre la prevención de fraudes y cómo un profesional puede ayudarte en este proceso? De ser así, te invitamos a conectar con nuestro artículo:
Seguridad informátiva y prevención de fraudes: ¿Cómo pueden ayudarte los expertos?