Lectura 7:00 min
Estándar PCI DSS, clave en protección de datos y pagos digitales
PCI-DSS fija controles para la protección de los datos sensibles del tarjetahabiente durante el proceso de autenticación, procesamiento, almacenamiento y transmisión de una transacción con tarjeta de crédito y/o débito.
Las organizaciones y consumidores mexicanos carecen aún de las herramientas tecnológicas y sensibilidad suficientes para proteger sus datos personales al momento de realizar cualquier transacción con pagos a través de tarjeta en puntos de cobros tradicionales y en Internet, a pesar de que cada día se crean oportunidades de negocio en línea, de que se abren nuevos canales digitales de venta y de que México despide el año 2021 con 28 millones de tarjetas de crédito y/o débito en uso; pero sobre todo también, porque en 2020, según la Comisión Nacional Bancaria y de Valores (CNBV), el crecimiento de las terminales de cobro repuntó en 26%, debido a que la gente dejó de lado el pago en efectivo por la pandemia de Covid-19.
Hasta hace pocos años era la confiabilidad de las redes de telecomunicaciones, por donde se envían y reciben los datos, el único eslabón de todo el ecosistema de la economía digital que quedaba en entredicho cuando se suscitaba una vulnerabilidad en el manejo de los datos sensibles. Pero ahora son muchos más actores los que se ven involucrados en el resguardo de la información financiera y, de hecho, las compañías de telecomunicaciones invirtieron 4.3 billones de dólares en todo 2020 a nivel global, según IDC, en aplicaciones TICs y de seguridad para alejar la delincuencia cibernética.
Expertos y representantes de reconocidas compañías relacionadas con el manejo seguro, resguardo y protección de datos coincidieron en que en México son muy pocas las empresas de todos los sectores las que blindan sus transacciones con tarjetas, alrededor del 21% de todas aquellas que navegan en Internet con la oferta de productos o servicios y que reciben pagos con tarjeta. Esta cifra aclara el diagnóstico del Banco de México (Banxico) respecto a que el país fue, en 2020, el segundo mercado de América Latina con el mayor robo de identidad desde las transacciones con tarjeta como medio de pago.
Ocurre que las organizaciones en México, de todos los sectores económicos, desconocen o incumplen con los criterios del estándar PCI DSS (Payment Card Industry Data Security Standard, por sus siglas en inglés), un conjunto de normas construido por las empresas Visa, MasterCard y American Express, y que fijan determinados controles para la protección de los datos sensibles del tarjetahabiente durante el proceso de autenticación, procesamiento, almacenamiento y transmisión de la operación con tarjeta; desde el origen hasta el final de la transacción con esta modalidad de cobro y pago.
Los representantes de las compañías Fornetix, BitDefender y Forcepoint, así como BuróMC Seguridad Informática respaldaron el uso del estándar PCI-DSS, después de que la pandemia de coronavirus aceleró las compras en línea y con tarjeta, pero que las empresas y consumidores han puesto una escasa atención a la protección de datos.
“La tecnología disponible en el mercado está en condición de ayudar a cumplir la regulación de PCI DSS, con ello aseguraremos el futuro de los pagos, así los fabricantes, proveedores de software e integradores, y todas las marcas de este ecosistema de seguridad, estamos muy completos para apoyar a las organizaciones en la protección de los datos del usuario final”, dijo Roberto González, country manager para México, Centroamérica y la región Andina de Fornetix.
González dijo que PCI DSS es un estándar que obliga a una gestión más responsable de los riesgos, con el manejo adecuado de la información sensible. De lo contrario, se corre el riesgo de caer en fraudes, pérdida de reputación y problemas legales. Cumplir con ese estándar, añadió el responsable de Fornetix en México, se traduce en un mejor aprovechamiento de las oportunidades y beneficios económicos que la transformación digital también detona en el país. “Diariamente se crean servicios digitales (…) La digitalización permite la expansión y está derribando fronteras. Digitalizar es hoy una necesidad y todos necesitan hoy un sistema de pago y el método más utilizado es a través de las tarjetas de débito/crédito, que está dominando el mercado”.
En igual sintonía estuvo Elías Cedillo, fundador y director de Buró MC Seguridad Informática, al recordar que ya existen afectaciones por los incumplimientos al estándar PCI DSS. Como una sola muestra, la Asociación de Internet MX dijo en septiembre pasado que en todo el 2019 se incrementó en 40% el robo de datos y fraude por transacciones en el comercio en línea y por pago con tarjetas con respecto al dato del 2018, esto, también, porque las organizaciones desconocen o incumplen el PCI DSS.
Elías Cedillo recordó que además de las empresas que no cumplen con el estándar PCI DSS, los usuarios finales también desconfían de entregar sus datos sensibles, porque no conocen cómo terceras entidades pueden manejar esa información. El directivo de Buró MC Seguridad Informática está en lo correcto, porque según la Asociación Mexicana de Venta Online (AMVO), en un informe de septiembre de 2021, señaló que ocho de cada diez consumidores mexicanos que no realizan todavía alguna operación de comercio en línea obedece a que no quieren arriesgarse más al fraude electrónico, a la clonación de sus tarjetas o el robo de su identidad.
“Tenemos un reto allí. Qué pasa si un día te roban tu contraseña o un dispositivo de autenticación. Para reparar el daño, podrán cambiarte la clave o el token, pero qué pasa cuando se trata de datos biométricos; ellos tienen tu voz, tus huellas… Será interesante ver cómo tratan de cubrir esos tipos de retos, más cuando vienen por delante las firmas electrónicas, las Fintech y otras muchas aplicaciones, y que no van a detenerse, por eso hay que actuar con la protección”, dijo Elías Cedillo. Quien no toma medidas de protección, a la larga pierde dinero, remató.
La tecnología está para solventar las necesidades de las organizaciones, afirmó a su vez Enrique Rivera, ingeniero técnico comercial en jefe de Forcepoint, respecto al cumplimiento de las organizaciones con el estándar PCI DSS.
“Tenemos un primer reto, que es el cumplimiento de las regulaciones y el buen cuidado con el manejo de datos y además de ello, tenemos ahora el reto de que la pandemia vino a acelerar la transformación digital y que tenemos que mover todo o casi todo hacia la nube y al mismo tenemos que trabajar juntos con el cliente sin perder el buen uso de sus datos, que es el factor a cuidar en este entorno”, dijo Enrique Rivera, recordando que las empresas de telecomunicaciones invirtieron solamente en el tercer trimestre del 2021, cerca de 50,000 millones de dólares en infraestructura de nube, de acuerdo con una investigación Canalys.
“Hay que hacer, como empresas, todo un esfuerzo en el cumplimiento de la normatividad de PCI DSS, porque ello pone en evidencia que no tenemos una tecnología que sirva contra estos riesgos. Hay demasiadas herramientas, pero poca visibilidad y una prevención insuficiente y por eso los ataques han tenido demasiado éxito y pasa además que en México los cibercriminales están aumentado sus ataques y se están coordinando”, dijo Horatiu Bandoiu, gerente de marketing para canal de BitDefender.
Horatiu Bandoiu está en concordancia con otro informe de la AMVO, respecto a que, en 2020, por la pandemia de coronavirus y el aumento de las compras en línea, los fraudes con tarjeta en la web se incrementaron en 81 por ciento.
Con información de Nicolás Lucas.