La industria de medios de pago apremia a adoptar PCI DSS

Pasada la fecha para cumplir el estándar de seguridad para tarjetas de crédito PCI DSS, las empresas españolas vinculadas a este medio de pago deben someterse a los procesos adecuados para validar su cumplimiento y evitar así comprometer la información contenida en las tarjetas y la imagen de su organización.

El mercado de tarjetas de crédito en España crece a un ritmo del 20% al año, según el estudio “Plástico Precioso 2008” de Pricewaterhouse Coopers. El nuestro es uno de los países donde más rápido crece, principalmente debido al auge del comercio electrónico, el fuerte crecimiento de los viajes internacionales y la mejor predisposición de las nuevas generaciones. Sin embargo, esta popularidad hace que las tarjetas de crédito sean también uno de los medios más utilizados a la hora de cometer fraude y robo a los usuarios.
                                                                                                     
Con el fin de salvaguardar la información contenida en las tarjetas de crédito, las principales marcas de la industria de medios de pago -VISA, MasterCard, American Express, JCB y Discover- constituyeron el consejo de normas PCI Security Standards Council, artífice a su vez de un protocolo de seguridad para prevenir la sustracción de datos de tarjetas. “El Payment Card Industry Data Security Standard (PCI DSS) establece un conjunto de medidas que pretenden garantizar la información asociada a pagos con tarjeta. PCI DSS alinea las principales iniciativas de seguridad que habían existido
hasta el momento para crear un marco global de seguridad coherente”, explica Vanesa Gil, manager de consultoría de la empresa de seguridad española S21sec (para ver entrevista en vídeo pinche sobre la imagen). 

El estándar protege dos tipos de datos: la información de los titulares (el número de tarjeta, el nombre del titular, fecha de expiración) y la información sensible de autenticación, banda magnética de la tarjeta, pin y código de validación que se utiliza para transacciones no presenciales. “PCI DSS abarca una serie de restricciones al almacenamiento de datos de tarjetas; en concreto se prohíbe el almacenamiento de determinada información después de la autorización de la transacción. Por ejemplo, no se puede almacenar la banda magnética completa y, en ningún caso, el pin de la tarjeta. Cuando compramos en Internet hay que introducir los cuatro dígitos detrás de la tarjeta y en el momento en que se autorice la transacción tienen que borrarse”.

Además de este tipo de medidas, el protocolo del PCI Security Standards Council contempla otras vías de protección física. En conjunto, el marco de PCI DSS se compone de 12 requerimientos de seguridad organizados en seis categorías: crear y mantener una red segura; proteger los datos del titular de la tarjeta; mantener un programa de gestión de vulnerabilidades; implementar fuertes medidas de control de accesos; monitorizar y testar las redes de forma regular, y mantener una política de seguridad de la información.

Proceso de implantación

Cualquier entidad que participe en el procesamiento, transmisión o almacenamiento de información de tarjetas de crédito tiene que cumplir PCI DSS. Por tanto, se identifican tres tipos de organizaciones susceptibles de su cumplimiento: comercios, entidades financieras o proveedores de servicios como pasarelas de pago, fabricantes de tarjetas, servicios de envío de tarjetas o procesadores de transacciones como SERMEPA, la CECA o los sistemas como 4B. Una de las primeras entidades españolas “PCI-DSS Compliant” es ATCA (Asociación Técnica de Cajas de Ahorros), que agrupa a Caja Inmaculada, Caja Rioja, Caixa Sabadell y La Caja de Canarias. La organización se ha sometido a los procesos necesarios para cumplir con la norma PCI DSS asesorada por S21Sec, certificada como Qualified Security Assessor Company (QSAC) para la realización de las auditorías anuales in-situ y como Approved Scanning Vendor (ASV) para la realización de los escaneos de red trimestrales necesarios para validar el cumplimiento de PCI DSS.

Para adoptar los requerimientos de PCI DSS, entidades financieras y comercios deben someterse a una serie de auditorías. Según Vanesa Gil, “lo primero es determinar qué datos de titulares de tarjeta se está tratando, realizar un estudio de los flujos de información de tarjetas y ver qué sistemas en concreto están incluidos dentro de cada uno de estos flujos a fin de fijar el alcance de PCI; no afecta a toda la organización sino a los sistemas que tratan o transmiten este tipo de información. Una vez determinado el alcance conviene garantizar el cumplimiento de los requerimientos. Para ello, hay que revisar si se está cumpliendo cada uno de ellos y establecer un plan en el que se establezcan de forma concreta las acciones a realizar. En principio eso lo podría realizar la propia empresa pero, teniendo en cuenta que es un estándar muy concreto, en muchas ocasiones suelen acudir a firmas especializadas en seguridad que les puedan asesorar sobre cómo cumplir el estándar”. 

Posteriormente, se procede a validar el cumplimiento acometiendo una auditoría in situ de cumplimento y una serie de escaneos de red trimestrales exigidos por los programas de cumplimento de las marcas. “Es el mismo trabajo que hemos realizado anteriormente pero más exhaustivo”, aclara la manager de consultoría de S21Sec.

El tiempo medio, así como el coste en términos económicos y humanos para implantar este estándar depende de la situación actual de seguridad de la organizaci&oac