Estándar PCI pronto podría ser obligatorio, ¿Está preparado?

Debido al uso cada vez más constante de tarjetas de crédito/débito en transacciones financieras por parte de la población mexicana, y al potencial riesgo en ciberseguridad que este método de pago implica.  S21sec pronostica que en los próximos años el cumplimiento del estándar PCI DSS podría ser obligatorio para las empresas relacionadas con la industria de pagos con tarjeta.

En opinión de Marcos Méndez Trejo, Team Lider del área de PCI de S21sec, esta tendencia es cada vez más visible ante la necesidad de combatir fraudes y garantizar la continuidad del servicio, con el fin de evitar situaciones como la del pasado 10 agosto en la Ciudad de México, cuando una falla en un centro de datos impidió que los clientes de varios bancos pudieran pagar sus compras con tarjetas bancarias y retirar efectivo de cajeros automáticos.

“Evidentemente, las instituciones bancarias son las más interesadas en que los comercios y proveedores de servicios cumplan con esta norma”, establece Méndez Trejo, y puntualiza: “Debido al análisis permanente de tendencias que realizamos como consultores de seguridad, nosotros vislumbramos que en aproximadamente cinco años será una cuestión obligatoria para cualquier entidad que maneja los datos de los titulares de las tarjetas, y dejará de ser considerada como una petición”.

La norma PCI DSS: Payment Card Industry Data Security Standard es un conjunto de requerimientos para gestionar la seguridad y medidas de protección que intervienen en el tratamiento, procesamiento o almacenamiento de información de tarjetas de pago.

Fue desarrollado por el Comité de Estándares de Seguridad para la Industria de Tarjeta de Pago (PCI SSC, por sus siglas en inglés), conformado por representantes de las cinco compañías de tarjetas de crédito y débito más importantes a nivel internacional.

“El estándar considera los entornos tecnológico y de negocios; al no cumplir con él, las organizaciones no solo corren el riesgo de fuga de información, sino que además pueden ser acreedoras a sanciones que van desde la pérdida de permisos para procesar transacciones con tarjeta, hasta auditorías por parte de los bancos o multas que ascienden a los 100 mil dólares al mes”, expone el especialista.

A pesar de que esta certificación no es nueva, pues generalmente siempre estuvo enfocada a las grandes empresas que realizan transacciones equivalentes a más de 6 millones de dólares en operaciones realizadas al año, ahora se dirige también hacia las pequeñas y medianas empresas con transacciones menores a los 20 mil dólares anuales.

“Los bancos suelen enviar comunicados de manera recurrente, incluyendo a PyMEs, y otorgan un plazo que oscila entre los tres y seis meses para que el comercio o proveedor de servicio se ponga en contacto con ellos con el fin de informar en qué nivel del proceso de certificación PCI se encuentran”, comenta Méndez. “Obviamente, en el caso de las pequeñas y medianas empresas no se espera que cumplan con los 403 requisitos, cuyo total es reservado para aquellas entidades que también almacenan datos de tarjeta de pago: a las PyMEs solo se les pide contar con ciertas medidas de seguridad específicas”, puntualiza.

De acuerdo con el especialista, para estos casos existen opciones en el mercado que apoyan a la pequeña y mediana industria: “Muy pocos proveedores en servicios de ciberseguridad ofrecen herramientas automatizadas que permiten realizar autoevaluaciones con el fin de establecer puntualmente con qué requerimientos cuenta una empresa para lograr la certificación, de tal manera que en menos de una semana ésta pueda brindar una respuesta al banco solicitante y a un costo mucho más accesible por tratarse de empresas pequeñas”, asegura Méndez Trejo.

Sin embargo, contar con esta certificación también brinda beneficios más allá de evitar multas y sanciones: “Existen valores agregados que el cumplimiento de PCI puede ofrecer, ya que, al establecer un marco normativo eficiente, este se refleja en los procesos del negocio y mejora incluso el control de activos y la gestión de operaciones, sin olvidar la mayor seguridad ante posibles fraudes”, concluye el consultor.