9 Claves para que los comercios adopten estándares de seguridad PCI DSS

Por: Héctor Guillermo Martínez,Presidente de GM Security Technologies.

Para los consumidores es cada vez más importante reconocer que tan seguros son los establecimientos comerciales y sitios web donde realizan sus transacciones. No importa el tamaño del negocio, garantizar que cuentan con medidas de protección de la información de los compradores es vital. Mucho más cuando se ha hecho del conocimiento público, que en los más grandes mercados de Latinoamérica, como México, 45% de los fraudes realizados en 2018 fueron contra usuarios de tarjetas de crédito1.

Por ello es tan importante que los medios de pago de los comercios tengan el respaldo y certificaciones de seguridad como el Estándar PCI DSS para el resguardo de los datos en las transacciones electrónicas con tarjetas de crédito. Los componentes de este estándar agregan valor en la protección de datos de los tarjetahabientes y son de estricto cumplimiento por empresas pequeñas y grandes que gestionen operaciones de pagos con tarjeta.

¿Tu empresa debe cuidar el cumplimiento del estándar PCI DSS?

Si. Toda actividad comercial que utilice medios de pago con tarjeta de crédito está expuesta a la necesidad de proteger la seguridad de los datos personales de sus clientes tarjeta habientes. Tal es el caso de los comercios con canales de pagos expuestos a Internet y las actividades que aceptan pagos telefónicos con tarjeta.

En el primero de los casos, los medios de pago electrónicos pueden ser vulnerables a los ataques cibernéticos que manipulan y accedan a los datos de la tarjeta; al tiempo que en las dinámicas de pago por teléfono, las llamadas que se capturan desde los sistemas de llamadas PAN (Personal Account Numbre, como el número de la tarjeta) y SAD (Sensitive Authentication Data, como el código de validación de la tarjeta-CVV) pueden ser almacenadas de forma inapropiada y la captación de datos pueden darse de forma irregular.

Por ello, el PCI Standards Council recomienda algunas claves para asegurar políticas integradas para la protección de los datos que no solo cumplan con las normas PCI DSS, sino que aseguren la reducción de riesgos de los negocios a los ataques a la integridad de los datos y que compartimos como una guía de sobrevivencia para la regulación.

1. Desarrolla y mantén un programa de cumplimiento sostenible para incluir la cultura de protección de los datos de los clientes en todas las instancias de la organización. La seguridad continua de los datos del titular de la tarjeta debe ser el objetivo principal de todas las actividades de la relación comercial.

2. Desarrolla programas, políticas y procedimientos. Consecuencia de la visión anterior, se debe implementar un programa de cumplimiento de PCI DSS que incluya personas, procesos y tecnología, junto con políticas y procedimientos de respaldo para ayudar a impulsar un comportamiento adecuado y mantener los procesos operativos y empresariales repetibles.

3. Define las métricas de rendimiento. Un programa de métricas efectivo puede proporcionar datos útiles para dirigir la asignación de recursos para minimizar la ocurrencia de riesgos y medir las consecuencias comerciales de los eventos de seguridad.

4. Asigna propiedad para coordinar actividades de seguridad. Se debe asignar una responsabilidad a una persona específica de nivel de gestión para el cumplimiento continuo. Las actividades pueden incluir la coordinación centralizada de recursos, monitoreo, proyectos y costos asociados con el cumplimiento de PCI DSS.

5. Enfatiza la seguridad y la gestión de riesgos para alcanzar y mantener el cumplimiento. El enfoque debe ser construir una cultura de seguridad y proteger los activos de información y la infraestructura de TI de una organización, permitiendo que se logre el cumplimiento como consecuencia.

6. Controla y monitorea continuamente. Las organizaciones deben desarrollar estrategias de protección que se alineen con sus objetivos comerciales y de seguridad para monitorear, probar y documentar continuamente la implementación, la eficacia y la eficiencia de los controles a través de la validación de los controles BAU (Business As Usual) .

7. Activa mecanismos de detección y respuesta a fallas. Las organizaciones deben tener procesos para reconocer y responder a las fallas de control de seguridad rápidamente. Como mínimo, los procesos de respuesta deben incluir: minimizar el impacto del incidente, restaurar los controles, realizar el análisis y remediación de la causa raíz, implementar estándares de fortalecimiento y mejorar el monitoreo.

8. Las técnicas de ingeniería social a menudo conducen a violaciones de datos. Las empresas deben implementar un proceso de concientización de seguridad formal que incluya contenidos sobre los tipos de ataques basados en ingeniería social, y la manipulación de comportamientos que terminan por vulnerar la protección de los datos.

9. Supervisa a los proveedores de servicios. A menudo, las organizaciones confían en proveedores de servicios de terceros para implementar y mantener los controles de seguridad necesarios para cumplir con las normas PCI DSS. Las organizaciones deben implementar procesos para monitorear el estado de cumplimiento de sus proveedores de servicios en esta área.

  1. De acuerdo con el informe: El Verdadero Costo del Fraude en México 2018, realizado por LexisNexis y publicado en El Confidencial.

Alberto Marín Morán

Consultor Empresarial con 15 años de experiencia en las áreas de Tecnología, Innovación, Mercadeo, Relaciones Publicas y Periodista especializado en Tecnologías. Durante los últimos años he visitado. Alemania, Estados Unidos de América, Puerto Rico, Costa Rica, Panamá, Colombia. Brasil, España y dentro de mi querida Venezuela las ciudades de Maracaibo, Cabimas, Ciudad Ojeda, Caracas, Barquisimeto, Merida, San Cristobal, Maracay, Valencia, Margarita y Puerto La Cruz; Atendiendo invitaciones para asistir o participar en eventos tecnológicos o empresariales de diferentes clientes.

Deja un comentario