Si formas parte de una entidadque almacena, procesa o transmite datos de tarjetahabientes, es muy probable que hayas oído hablar del estándar PCI DSS, las siglas de Payment Card Industry Data Security Standard.
Walter Cervoni, de GM Security Technologies, la primera entidad de ciberseguridad certificada en PCI DSS en Latinoamérica, ofrece algunos detalles de interés sobre el tema. De entrada, se trata este de un estándar de seguridad de información patentado que fue establecido en 2004 por las principales marcas de tarjetas de crédito.
PCI DSS aplica a las organizaciones que manejan las principales tarjetas de crédito, incluidas Visa, MasterCard, American Express, Discover y JCB. El PCI DSS no cubre las tarjetas de etiqueta privada, como las tarjetas de crédito de tiendas por departamentos, que no están asociadas a una franquicia internacional de tarjetas de crédito.
La actualización y seguimiento de las normas PCI DSS son tuteladas por el PCI Security Standards Council, que ha emitido sendas guías para la normalización de auditorías de cumplimiento y también para la implementación de procesos de gestión segura de los datos sobre tarjetas de crédito en entornos de trabajo remoto, cómo pueden ser equipos de calls center remotamente distribuidos.
Para los comercios, no ser compatible con PCI podría exponer sus sistemas a un robo de datos. En 2019, el costo promedio por robo de datos en Estados Unidos superó los 8 millones de dólares, según un informe de IBM. Para la mayoría de las pequeñas empresas, eso significa cerrar las puertas. También hay multas por parte de las marcas de tarjetas que en los Estados Unidos pueden alcanzar los 100 mil dólares por incidente. El monto de la multa depende del volumen de transacciones de una empresa, la cantidad de requisitos de PCI DSS robados y otros factores.
Para reforzar el tema y su importancia, a continuación se enumeran los 12 requisitos fundamentales PCI DSS para dotar de seguridad a las transacciones:
Construir y mantener una red segura
- Instalar y mantener una configuración firewall para proteger los datos.
- No usar contraseñas o valores predeterminados suministrados por los proveedores.
Proteger los datos de los titulares de las tarjetas
- Salvaguardar la información personal de los propietarios de las tarjetas.
- Cifrar la transmisión de datos e información confidencial de los titulares a través de redes públicas abiertas.
Establecer un programa de gestión de vulnerabilidades
- Actualizar y activar el programa antivirus de forma regular.
- Desarrollar y mantener sistemas y aplicaciones seguras.
Crear medidas sólidas de control de acceso
- Limitar el acceso a la información únicamente a las empresas que lo necesiten.
- Asignar una identificación única a cada persona con acceso al sistema.
- Restringir el acceso físico a los datos solo a los propietarios de la tarjeta.
Monitorizar y testar regularmente las redes
- Rastrear y monitorizar el acceso a los recursos de red y datos del titular.
- Realizar pruebas habituales en los sistemas y procesos de seguridad.
Mantener una política de seguridad de la información actualizada
- Crear una política que contemple y mantenga actualizada los aspectos relacionados con seguridad de la información.