Cumplir con normativas PCI para la protección de datos puede contrarrestar la vulnerabilidad subyacente en este proceso. Solo una de cada 10 empresas de retail en México cuenta con el estándar de seguridad para pago con tarjetas.
Con el fin de contrarrestar el incremento de fraudes que genera el uso indiscriminado de tarjetas de crédito o débito en transacciones financieras, la compañía española especializada en seguridad digital S21sec afirma que lo más recomendable es establecer prácticas adecuadas para la protección de datos electrónicos tanto de las empresas y comercios como de los clientes finales.
La tendencia a utilizar este medio de manera cotidiana no solo genera cada año la aparición de nuevas tecnologías que facilitan el pago de productos y servicios: también abre nuevas brechas de seguridad que los cibercriminales aprovechan para cometer fraudes. De hecho, en los últimos cinco años dicha práctica ha experimentado un 6% de crecimiento anual.
De acuerdo con Omar Cruz, Business Team Líder para Medios de Pago en el área de América Latina de S21sec, estas brechas pueden ser contrarrestadas con el uso de la norma PCI DSS: Payment Card Industry Data Security Standard (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago).
“En la actualidad casi cualquier comercio ya cuenta con opciones para realizar pagos electrónicos: desde dispositivos físicos, como terminales punto de venta, hasta opciones digitales como páginas web o aplicaciones para smartphone”, comenta Cruz, “y aunque esta tecnología brinda competitividad a las empresas y comodidad para los clientes, también nos hace vulnerables a las amenazas electrónicas”.
En palabras de Omar Cruz, los sectores más vulnerables a este tipo de ataques son el retail y el financiero, y el fraude más recurrente es el robo de datos puros, como el número de tarjeta conformado por 16 dígitos y su correspondiente número de autenticación (CVV) o, en su defecto, el número de identificación personal (PIN).
“Este robo de información puede efectuarse a través de variantes de dispositivos para hacer pagos, como los skimmers, que son usados para duplicar la información contenida en los chips o las bandas magnéticas de las tarjetas de crédito”, asegura Cruz.
¿Cómo se puede combatir esta tendencia?
Para el experto en medios de pago de S21sec, todo se reduce al uso de buenas prácticas en el día a día: “El personal de un comercio que interactúa con el procedimiento de pago debe tener conocimientos básicos para manejar adecuadamente una tarjeta al momento de ingresarla al dispositivo que dará lectura a su información, así como detectar si el mismo presenta elementos extraños, como mayor cantidad de cables, por ejemplo”, aconseja.
Es en este punto donde el estándar PCI, desarrollado por el Comité de Estándares de Seguridad para la Industria de Tarjeta de Pago (PCI SSC, por sus siglas en inglés) adquiere relevancia, ya que sirve como guía para que las organizaciones que procesan, almacenan y/o transmiten datos de tarjetahabientes puedan proteger dicha información y evitar fraudes.
Conformado por representantes de las cinco compañías de tarjetas de crédito y débito más importantes a nivel internacional, este comité establece y actualiza las normas de seguridad que deben acatar las empresas que brindan opciones de pago con tarjeta, a través del estándar PCI.
En el caso de los grandes corporativos que poseen un nivel de transaccionalidad equivalente a más de 6 millones de dólares en operaciones realizadas al año, dicha norma debe ser validada anualmente por compañías auditoras certificadas por el comité como Qualified Security Assessors (QSA). A las empresas con niveles de transaccionalidad menores se les permite realizar una autoevaluación a través de un cuestionario, también provisto por el PCI SSC.
Omar Cruz explica: “En el caso de las auditorías a grandes corporativos a través de QSA, estas deben poseer tres características esenciales: ser muy consistentes desde el inicio del ejercicio, implementarse en el sitio a través de personal especializado que entienda el giro de la empresa, y contar con una persona que lleve a cabo la gestión interna. Si uno de esos tres hitos se rompe, la auditoría será deficiente y puede ocasionar brechas de incumplimiento”.
Por su parte, los negocios con niveles menores de transaccionalidad pueden utilizar herramientas especiales que les ayuden a llevar a cabo la autoevaluación e identificar donde presentan problemas en el cobro de medios electrónicos y de tarjeta. “En S21sec brindamos ambos servicios desde hace una década en México, lo que conlleva ciertos beneficios, como presencia en sitio, cercanía, lenguaje nativo y conocimiento de la situación del país. Nuestra herramienta propietaria para el cumplimiento del PCI, SAQPlus, posee una interfaz amigable y en español, ideal para los usuarios que no son expertos en tecnología”, puntualiza Omar Cruz.
Esto le da un valor añadido a la auditoría PCI, sobe todo si consideramos que en nuestro país solo el 10% de las empresas retail cuentan con este estándar de seguridad.
Por último, el experto resume la importancia de combinar las buenas prácticas cotidianas con la acreditación de la normativa PCI: “El objetivo real de la certificación es reducir los fraudes, pero aunque una empresa cuente con centros de datos y servidores corporativos protegidos, estos no servirán de mucho ante una mala concientización de los procesos cotidianos. Sobre todo si se presentan anomalías que personal con capacitación deficiente no es capaz de percibir al momento aceptar los datos de una tarjeta, porque es precisamente en ese momento cuando ocurren los fraudes”, recalca.