Estándares de seguridad PCI DSS en comercio: 9 claves para su adopción

¿Alguna vez has desistido de hacer una compra o transacción online por no confiar en el sitio? Con tantas noticias de hackeos que comprometen la información sensible de clientes, no es de extrañar que esta actitud sea relativamente común, sobre todo cuando se trata de sitios no frecuentados o que, por diseño, no lucen del todo confiables. 

Es fácil pensar en los riesgos de hacer compras online en lo que respecta al resguardo de nuestra información delicada y las posibles consecuencias en caso de esta caer en las manos equivocadas, pero en comercios físicos hay por igual riesgos latentes: puede ser que haya una mafia interna dedicada a duplicar tarjetas de crédito o bien que sean hackeados sus sistemas, quedando expuesta la información de toda la clientela, desde su nombre y dirección hasta datos de la tarjeta de crédito. 

Aun cuando las tarjetas de crédito, débito y demás han evolucionado con el paso de los años con la intención de hacerlas más seguras y resistentes a intentos de fraude o hackeo, incorporando código CVV, pines, chips y otros mecanismos, la triste realidad es que siguen siendo vulnerables: se reporta que en 2018 el 45% de los fraudes realizados en los más grandes mercados de Latinoamérica fueron contra usuarios del plástico. 

Para los consumidores es cada vez más importante reconocer que tan seguros son los establecimientos comerciales y sitios web donde realizan sus transacciones. No importa el tamaño del negocio, garantizar que cuentan con medidas de protección de la información de los compradores es vital.

Uno de los pasos más recomendados en ese sentido es la adopción del estándar PCI DSS para el resguardo de los datos en las transacciones electrónicas con tarjetas de crédito. Los componentes de este estándar agregan valor en la protección de datos de los tarjetahabientes y son de estricto cumplimiento por empresas pequeñas y grandes que gestionen operaciones de pagos con tarjeta, sean estas de manera presencial, por teléfono o por la Web. 

Héctor Guillermo Martínez, presidente de GM Security Technologies

Héctor Guillermo Martínez, presidente de GM Security Technologies, comparte a continuación 9 claves para una adopción adecuada y oportuna del estándar PCI DSS en los negocios: 

1. Desarrolla y mantén un programa de cumplimiento sostenible para incluir la cultura de protección de los datos de los clientes en todas las instancias de la organización. La seguridad continua de los datos del titular de la tarjeta debe ser el objetivo principal de todas las actividades de la relación comercial.
2. Desarrolla programas, políticas y procedimientos. Consecuencia de la visión anterior, se debe implementar un programa de cumplimiento de PCI DSS que incluya personas, procesos y tecnología, junto con políticas y procedimientos de respaldo para ayudar a impulsar un comportamiento adecuado y mantener los procesos operativos y empresariales repetibles.
3. Define las métricas de rendimiento. Un programa de métricas efectivo puede proporcionar datos útiles para dirigir la asignación de recursos para minimizar la ocurrencia de riesgos y medir las consecuencias comerciales de los eventos de seguridad.
4. Asigna propiedad para coordinar actividades de seguridad. Se debe asignar una responsabilidad a una persona específica de nivel de gestión para el cumplimiento continuo. Las actividades pueden incluir la coordinación centralizada de recursos, monitoreo, proyectos y costos asociados con el cumplimiento de PCI DSS.
5. Enfatiza la seguridad y la gestión de riesgos para alcanzar y mantener el cumplimiento. El enfoque debe ser construir una cultura de seguridad y proteger los activos de información y la infraestructura de TI de una organización, permitiendo que se logre el cumplimiento como consecuencia.
6. Controla y monitorea continuamente. Las organizaciones deben desarrollar estrategias de protección que se alineen con sus objetivos comerciales y de seguridad para monitorear, probar y documentar continuamente la implementación, la eficacia y la eficiencia de los controles a través de la validación de los controles BAU (Business As Usual) .
7. Activa mecanismos de detección y respuesta a fallas. Las organizaciones deben tener procesos para reconocer y responder a las fallas de control de seguridad rápidamente. Como mínimo, los procesos de respuesta deben incluir: minimizar el impacto del incidente, restaurar los controles, realizar el análisis y remediación de la causa raíz, implementar estándares de fortalecimiento y mejorar el monitoreo.
8. Las técnicas de ingeniería social a menudo conducen a violaciones de datos. Las empresas deben implementar un proceso de concientización de seguridad formal que incluya contenidos sobre los tipos de ataques basados en ingeniería social, y la manipulación de comportamientos que terminan por vulnerar la protección de los datos.
9. Supervisa a los proveedores de servicios. A menudo, las organizaciones confían en proveedores de servicios de terceros para implementar y mantener los controles de seguridad necesarios para cumplir con las normas PCI DSS. Las organizaciones deben implementar procesos para monitorear el estado de cumplimiento de sus proveedores de servicios en esta área.