IMPORTANTE: Conoce las medidas tomadas por las entidades bancarias por COVID-19

¿Cómo protegen los comercios la información de nuestras tarjetas de pago?

¿Cómo protegen los comercios la información de nuestras tarjetas de pago?

Stock / klingsup

En los últimos años, la permanente conectividad a internet se ha convertido en la forma principal en la que exponemos nuestra información. Constantemente compartimos información personal en redes sociales, información financiera en portales de comercio electrónico y, en general, dejamos una huella en cada sitio que visitamos.

Esta realidad nos coloca en una nueva superficie de riesgo en la cual debemos afrontar los intentos de robo de esa identidad digital. Hay infinidad de técnicas usadas por los delincuentes para vulnerar nuestra seguridad y sacar provecho monetario con nuestros datos. Es por ello que la privacidad adquiere un valor cada vez mayor para la población. En respuesta a esta situación, sociedades como la europea se han abocado a implementar regulaciones generales de protección de datos (GDPR por sus siglas en inglés) y, en nuestro continente, países como Brasil han puesto en marcha leyes de protección de datos, con el fin de crear un marco a nivel país para establecer controles rigurosos y un régimen de consecuencias para quienes almacenan información y, a la vez, fomentar mejores controles de seguridad para la misma.

Por su parte, las compañías emisoras de tarjetas de pago habían estado impulsando, por separado, múltiples programas en pro de establecer guías hacia las mejores prácticas en materia de seguridad de la información de los tarjetahabientes. Sin embargo, hay que destacar que no fue hasta finales del año 2004 cuando Mastercard, American Express, Discover y JCB decidieron en conjunto la creación de un estándar de seguridad para incrementar los controles alrededor de la información de los clientes y, con ello, contribuir a la reducción de fraudes y garantizar la continuidad de estos medios de pago tan extendidos hoy en día.

¿Cuáles controles de seguridad de datos aplican el comercio y la industria de tarjetas de pago actualmente? Héctor Díaz se refiere al tema en este artículo. Clic para tuitear

Estos esfuerzos quedaron plasmados en un estándar conocido como Payment Card Industry Data Security Standard (PCI DSS), el cual consta de 4 niveles, dependiendo del flujo transaccional de la entidad. Este criterio debe ser cumplido por prácticamente todo el sector comercial y financiero dominicano, y desde su inserción ha traído excelentes beneficios en lo que tiene que ver con las iniciativas para salvaguardar la información de los usuarios.

¿Cómo nos beneficia?

Sin ánimos de entrar en todos los tecnicismos de los que consta este estándar, su aplicación en el sector comercial y bancario local ha traído consigo beneficios que quizás no son tangibles para el usuario promedio pero que, sin lugar a duda, han venido a generar una constante cultura de la seguridad en lo referente a los datos de nuestros productos de de pago digital. Algunos de los beneficios principales que podemos mencionar son:

Genera confianza

El hecho de saber que prácticamente la totalidad del mercado ha estado abocada a la aplicación de mejores prácticas homogéneas en el manejo de nuestra información de tarjetas, en adición a los avances tecnológicos con los plásticos propiamente, constituye un aliciente para el usuario. Sobre todo en un entorno social donde no se incentiva el uso generalizado del dinero en efectivo por motivos de seguridad o por lo práctico que resultan estos medios de pago para transacciones de todo tamaño.

Reduce el riesgo

El conjunto de pasos a implementar a la hora de alcanzar este estándar obligatorio para quienes emiten o reciben transacciones va desde lo que es un estricto control a nivel tecnológico de todos los procesos relativos a las tarjetas, hasta la inspección de aquellos procesos que involucran factores humanos, como el embalaje, entrega, etc. Esto reduce a su mínima expresión el error humano o cualquier tipo de desviación que pueda ocurrir durante todo el proceso de inicio a fin en lo que tiene que ver con la emisión de las tarjetas.

Fomenta una cultura de la seguridad de nuestros datos

La norma en su requerimiento 12.6 prescribe que los comerciantes e instituciones financieras implementen un programa integral de concientización de seguridad, que aborda múltiples aspectos, a fin de enseñar sobre la importancia de la seguridad de los datos de los titulares de tarjetas. Dicho entrenamiento debe llevarse a cabo al momento de contratar a empleados que estarán manejando información de tarjetas y será reforzado al menos una vez cada año. Además, los empleados deben estar sujetos a retomar este material didáctico si su supervisor identifica debilidades en el manejo de información de tarjetas en el marco de sus labores diarias y cada uno de ellos debe, al menos anualmente, proporcionar alguna forma de reconocimiento por escrito de que ha leído y entendido las políticas establecidas en ese sentido.

Presenta un régimen de consecuencias

El no cumplimiento de este estándar puede significar penas de entre 5,000 a 100,000 dólares mensuales (a discreción de la marca de medio de pago). Las mismas no se discuten abiertamente o se diseminan en los medios, pero aparte del costo monetario que representan, pueden significar un incremento en los costos por transacción para el comercio que comete la infracción o inclusive la terminación de su relación con entidades bancarias o procesadoras de pago.

De igual forma, incluso estando en cumplimiento con la normativa, esto no hace infalible al comercio de enfrentar alguna brecha de seguridad, para lo cual también existen consecuencias diversas que van desde montos de penalidad por cada registro comprometido, hasta intangibles como afectar la reputación del comercio y con ello una reducción en su clientela.

En esta entrega hemos querido resumir brevemente algunos de los puntos importantes sobre lo que la aplicación de este estándar representa en pro de la seguridad y confianza del usuario en el llamado dinero plástico. PCI DSS ha evolucionado bastante desde su incepción. Con ello la seguridad ha tomado un papel fundamental que nos ha permitido ir adoptando las tecnologías de tarjetas y sus amplios beneficios.

Héctor Díaz

Héctor Díaz

El autor es asesor en seguridad de la información, con más de 10 años de experiencia en el área Tecnología de la Información. Twitter: @Hectordi4z


Volver Arriba