Noticia, premios

PCI, el guardián de los pagos

Las marcas de tarjetas desarrollaron, a principios del siglo XXI, programas propios de seguridad para frenar los elevados índices de fraude que se daban en la industria de las tarjetas de pago (Payment Card Industry). La falta de homogeneidad en los mismos se tradujo en usuarios desconfiados y comercios frustrados frente a métodos ineficientes de control. En 2006, cinco grandes compañías –VISA, MasterCard, American Express, Discover Financial Services y JCB Internacional – decidieron conformar el consejo que elaboraría un decálogo de reglas de seguridad para este tipo de pagos. Nacía lo que hoy conocemos como el PCI Security Standards Council, el foro global que contribuye a desarrollar, difundir y comprender los estándares de seguridad de los datos de pago.

En los casi 14 años que lleva en vigor, ningún comercio en cumplimento de PCI DSS ha visto comprometidos sus datos.  Esta ha sido una de las conclusiones más relevantes expuestas en el duodécimo European Community Meeting celebrado en Dublín, el evento al que asistí en nombre de Necomplus y que aborda anualmente los aspectos más relevantes del presente y el futuro de la seguridad de los pagos en el mundo. En concreto, los expertos ahondaron en las amenazas que acechan a los pagos, pero también sobre cuáles son las nuevas soluciones tecnológicas y las normativas aplicables para combatirlas. En este artículo se exponen las causas que motivan las brechas de seguridad en los comercios, con especial énfasis en las que derivan de las nuevas tecnologías.

Más canales de pago vs más vulnerabilidad

No cabe duda que las nuevas tecnologías están cambiando las reglas del juego: e-commerce, servicios en la nube, pagos en el móvil propician nuevas oportunidades de crecimiento, pero no es menos cierto que éstas han traído consigo riesgos a nivel de seguridad. Imaginemos una larga fila de maleantes intentado forzar la puerta de nuestra casa. Éste es precisamente el escenario en el mundo digital, donde nos exponemos a continuos ciberataques sin saberlo. Es en este punto, en el que PCI cobra sentido y se convierte en un aliado irremplazable. ¿Qué pueden hacer los comercios para minimizar los riesgos? Pues, aunque parecen obvias, cumplir las medidas básicas que se describen a continuación.

Tres sencillos consejos que nos ayudarán a estar más protegidos

  • En primer lugar, algo tan sencillo como la actualización de software. Mantener los sistemas operativos y antivirus actualizados, nos blinda frente a ataques dirigidos a las vulnerabilidades de nuestro entorno.
  • A continuación, otra de las medidas imprescindibles es realizar un exhaustivo control de accesos. Para ello evitaremos replicar el mismo usuario y contraseña para iniciar sesión, tanto en dispositivos como en aplicativos diferentes. Sólo así monitorizaremos los accesos individualizados a nuestro sistema. Del mismo modo, y de plena actualidad en el sector de los pagos de la mano de la PSD2, se recomienda agregar una segunda autenticación en los sistemas más sensibles de nuestra compañía. Lo cierto es que ya hemos normalizado tener que insertar algún tipo de código o PIN para proseguir un procedimiento.
  • En último lugar, tan importante es asegurar el acceso como vigilar quién y qué uso está haciendo. Debe ser una práctica habitual generar un registro con los datos de cada acceso, incluidos los intentos fallidos. Sólo así obtendremos el flujo del comportamiento de lo que sucede en el corazón de nuestro sistema.  

Un standard de seguridad para presente y futuro

PCI abarca muchos más aspectos que estas tres reglas básicas de protección. Es el standard que reduce el riesgo de los datos de las operaciones y garantiza que los comercios no sean víctimas de situaciones comprometidas. Los responsables de PCI deben contribuir a que se alcance el cumplimiento en un entorno digital muy dinámico, lo que conlleva seguir con atención las nuevas tendencias. Se espera que a finales de 2020 se publique la nueva versión 4.0 de PCI DSS que será el hilo conductor del encuentro del Council en Niza. Se avecinan nuevos retos tecnológicos y de seguridad, por lo que todos los implicados deben ser parte activa de esta comunidad, cuyo objetivo es conseguir un escenario lo más seguro posible.  

Vector de Abstracto creado por katemangostar – www.freepik.es

Javier Trives
Responsable de PCI de Necomplus