PCI-DSS: aseguramiento y protección de datos crediticios

¿Alguna vez lo han contactado de alguna compañía diferente a su banco con datos de su tarjeta de crédito y no entiende cómo es que tuvieron acceso a esta información?

El flujo de información de pago con tarjeta de crédito incluye diferentes actores, entre otros, el banco que emite la tarjeta de crédito, el comercio (ejemplo: compañía de celular, supermercado, compañía de seguros) que recibe el pago con una tarjeta de crédito, procesadores de pago y proveedores de aplicaciones de pago.

Es posible que en alguno de estos puntos se rompa la seguridad de la información por personal interno o externo, por ejemplo hackers, empleados malintencionados o empleados que venden información a la competencia.

Dudas como ésta son muy comunes. Y es por esto que, hace más de dos años, VISA y otras grandes instituciones crediticias han trabajado en el estándar de aseguramiento de controles PCI-DSS (Payment Card Industry-Data Security Standard), cuyo objetivo es mejorar el manejo de información sensible de tarjetas de crédito durante todo el flujo de información.

Todas las compañías (bancos, telefonía celular, detallistas, aseguradoras, etcétera.) que transmiten, almacenan o procesan información crediticia están obligadas a cumplir con el estándar PCI-DSS (la información puede organizarse en forma física, electrónica, telefónica -call center-, e-mail o pagos electrónicos).

¿Qué es el estándar PCI-DSS?

PCI-DSS es un estándar internacional que establece un conjunto de requerimientos de seguridad de la información para proteger los datos de los tarjetahabientes, reducir los fraudes relacionados con las tarjetas de crédito y mejorar la protección de información sensitiva de sus cuentas y transacciones.

Dicho estándar fue desarrollado por las principales asociaciones expendedoras de tarjetas de crédito globales fundadoras del PCI Security Standards Council (PCI -SSC), entre otras American Express, Discover Financial Services, JCB, MasterCard Worlwide y Visa International.

Componentes del estándar PCI-DSS

El estándar PCI-DSS está compuesto por 12 criterios agrupados en seis objetivos de control general:

Construir y mantener redes seguras:

l Proteger la información del tarjetahabiente.

l Establecer programas de pruebas de vulnerabilidad.

l Implementar medidas fuertes de control de acceso.

l Monitorear y probar acceso a la red regularmente.

l Mantener políticas de seguridad de la información.

l Niveles de cumplimiento y proceso de validación.

Existen diferentes niveles de cumplimiento, que van desde el uno al cuatro (dependiendo básicamente del número de transacciones al año) y que finalmente definen los requerimientos aplicables y el proceso de validación de su cumplimiento.

Los procesos de validación de cumplimiento van desde una revisión por un auditor autorizado por PCI-SSC, hasta completar un cuestionario de autoevaluación.

Fechas de cumplimiento

Recientemente VISA emitió fechas límite (septiembre del 2009), para México y el resto de Latinoamérica, para el cumplimiento obligatorio de una de las secciones más importantes del estándar PCI-DSS, específicamente para el criterio tres, y septiembre del 2010 para los criterios restantes.

Por ello es de suma importancia que en aquellas compañías que aplique, se inicien los procesos de revisión de la situación actual.

El nivel de cumplimiento en otras latitudes se encuentra más avanzado, por ejemplo Visa Inc. publicó estadísticas del nivel de cumplimiento en Estados Unidos de América con corte al 31 de diciembre del 2008, en las que se resalta que 91 y 87% de los comercios nivel uno y nivel dos, respectivamente, ya habían iniciado la validación de su cumplimiento.

¿Quiénes deben cumplir con la norma PCI-DSS? (aplicabilidad)

En esencia, cualquier compañía (bancos, comercios y proveedores de servicio/aplicaciones) que almacene, procese o transmite datos de tarjetas de crédito en sus sistemas, tiene la obligación de cumplir con los requerimientos de dicho estándar.

Sin embargo, muchas compañías mexicanas actualmente no entienden la aplicabilidad, niveles de cumplimiento, procesos de verificación y acciones a seguir para afrontar este nuevo estándar de industria.

Casos dentro de las compañías en los que aplica PCI-DSS: para más información sobre el aseguramiento y protección de datos crediticios consulte: www.deloitte.com/mx

Casos en los que SÍ aplica

Bancos. Porque emiten tarjetas de crédito en la República Mexicana y proveen terminales de pago para ser usadas en comercios.

n Supermercados/almacenes (consumo). (Comercio) toda vez que la transacción no sea registrada a través de un punto de venta bancario, sino en el sistema propio de la compañía.

n Compañía de telefonía celular o seguro. (Comercio) pagos programados de celular o seguros para lo cual almacena los datos de información de tarjeta de crédito de los clientes en sus sistemas, también modifican datos de tarjeta de crédito a través de call center.

n Universidades/entretenimiento. Mantienen los datos crediticios de clientes para realizar periódicamente los cargos por servicio.

Casos en los que NO aplica

Otros comercios que externalizan el proceso de pago. (Otros comercios) Reciben pagos y los procesan a través de una terminal bancaria o POS de un tercero. La transacción nunca entra en el sistema del comercio.

Alejandra Báez es socia de Línea de Servicios de Riesgos Empresariales-Aseguramiento de Controles y su correo electrónico es abaez@deloittemx.com

Óscar Mauricio Moreno es gerente de Línea de Servicios de Riesgos Empresariales y su correo electrónico es osmoreno@deloittemx.com