HPE entre los lÃderes de almacenamiento de Gartner
El último trimestre del año supone un importante reto para los pagos digitales, em especial en materia de seguridad.
También nos obliga a pensar en lo que está por venir y las tendencias que experimentaremos en 2025.
Por: Oswaldo Silva | VP de Operaciones GM Sectec México
De cara a 2025, el mundo sigue adoptando la digitalización en múltiples industrias, y el sector financiero no es una excepción.
Los pagos digitales, que antes se consideraban una tecnologÃa emergente, se han convertido en un elemento básico de la economÃa mundial.
Según Statista, en 2023, las ventas mundiales de comercio electrónico alcanzaron una cifra estimada de US$ 5,8 billones (millardos en español). Las proyecciones indican un crecimiento del 39% de esta cifra en los próximos años, con expectativas de superar los US$ 8 billones (millardos) en 2027.
Pero hay que tener en consideracion que la ciberdelincuencia está simplificando sus operaciones.
Y las consecuencias de su actividad tendrán un mayor alcance al aprovechar la Inteligencia Artificial (IA), la adopción de nuevos sistemas de pago digitales, asà como el surgimiento de nuevas tácticas de fraude.
Es por ello que en el mundo digital actual, la protección de la información de las tarjetas de pago es esencial.
Un dispositivo omnipresente
El Estándar de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS) es un marco vital. El mismo fue diseñado para proteger frente a las ciberamenazas.
PCI DSS es una norma creada en 2004, que todas las organizaciones que almacenan, procesan o transmiten datos de titulares de tarjetas deben cumplir.
La norma establece un nivel básico de seguridad para las transacciones con tarjetas de crédito, efectivo y débito, asà como protege la información de las cuentas de los titulares.
El estándar PCI DSS ha pasado por varias actualizaciones para adaptarse al cambiante panorama de las amenazas.
La versión actual (PCI DSS v4.0) que entró en vigor en abril de 2024, fue actualizada por la versión PCI DSS v4.0.1 en junio 2024.
Esto permitió aclarar el enfoque asà como la intención de algunos de los requisitos y orientaciones.
El cumplimiento de este estándar de seguridad no es opcional, pero las partes de la norma que deben cumplirse dependen de cómo se procesen las transacciones.
Nuevos Controles PCI DSS aplicables a partir de Abril 2025
La actualización a la versión 4.X incluye 53 controles que a partir de abril 2025 serán mandatorios. Estos implican una implementación más compleja que los controles que eran de aplicación inmediata.
Entre los más importantes podemos mencionar:
- Cifrado de SAD (Sensitive Authentication Data) incluido el CVV (Card Verification Value), mientras se autoriza la operación.
- Controles técnicos para prevenir que el PAN (Primary Account Number) se pueda copiar, mientras se usen tecnologÃas de acceso remoto.
- TRA’s (Targeted Risk Analysis) para definir periodicidad de algunos controles.
- Escaneo de malware en mecanismos removibles.
- Mecanismos para administrar y proteger los scripts de pago.
- Escaneos internos autentificados.
- Monitoreo de scripts en páginas de pago.
Un control clave para entender la evolución de PCI, es el uso de los Análisis de Riesgos Enfocado (TRA’s). En ellos, para definir la periodicidad de ciertos controles, es necesario justificarla con un análisis de riesgo especÃfico de dicho control, y los activos a los que aplique.
Otras tendencias de los pagos digitales
El uso de la Inteligencia Artificial (IA) sigue siendo tendencia en 2025, y para el PCI no es la excepción.
Por ello, muchos controles del estándar de pagos de tarjeta pueden ser asistidos por la IA, como la Revisión cruzada de código, en la cual se puede usar IA para generar recomendaciones de código seguro.
De la misma manera, algunas herramientas pueden usar IA para generar el Inventario y monitorear scripts de pago.
Otro de los cambios importantes para este 2025 es la responsabilidad de las empresas para identificar y monitorear su alcance PCI. Para ello se utilizarán herramientas que permitan un correcto descubrimiento de datos, para que puedan demostrar la correcta definición de su CDE (Card Data Enviroment).
En 2025 la ciberseguridad continuará en constante evolución, adaptándose a nuevas amenazas y métodos de ataque.
Es por ello que el cumplimiento de la norma PCI DSS es primordial para continuar protegiendo los datos de los titulares de tarjetas, manteniendo su confianza y salvaguardando su información.
