ARTICULO: Nuevos Estándares Seguridad de Datos de la Industria de Tarjetas de Pago entrarán en vigencia

Por: Alberto España

Gerente General y Vicepresidente Senior

GM Sectec International Operations

El Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) ha comenzado a trabajar en el PCI DSS 4.0. Se espera que las nuevas normas se publiquen a mediados de 2021 y sustituirán la v. 3.2.1 en 2024.

Es una realidad que desde hace ya un tiempo, la mayoría de las transacciones comerciales se realizan con “dinero plástico”, bien sean mediante el uso de tarjetas de débito o crédito, y más en la actualidad en la que nos hemos tenido que acostumbrar a estar encerrados en la casa como consecuencia de la pandemia y donde la mayoría de nuestras compras se realiza vía internet.

No es un secreto que las transacciones que realizamos vía web podrían exponer nuestra información a actores del mal que sin escrúpulos se aprovechan de posibles  vulnerabilidades en los sistemas  para explotar todo lo que se comparte en la internet. Es por ello, que los estándares de seguridad a utilizarse para salvaguardar nuestros datos deben reforzarse en mayor medida para hacernos menos vulnerables en esta nueva era.

Desde hace un tiempo, el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS)  se encarga de definir cómo es que se debe proteger la información relacionada con estas transacciones que hacemos en establecimientos comerciales, ya sea de forma presente en el establecimiento o no-presente via internet, siendo esta última la que se ha disparado por la realidad en la que nos encontramos,  y la razón que principal que impulsa necesidad de una  revisión al estándar  para crear medidas y controles que asuguren la protección de nuestra información.

A mediados de este año, empezará a regir la versión PCI DSS 4.0. cuyas normas se aplicarán a todos los involucrados en transacciones comerciales con dinero plástico. Estas normas sustituirán completamente a la versión 3.2.1 para el 2024.

“Es necesario que todos los involucrados en el ecosistema de medios de pagos adapten sus estándares a las nuevas medidas que trae consigo la versión PCI DDS 4.0 para que puedan blindar los datos que fluyen en este ecosistema, así lograrán hacerlo mucho más robusto”; recalcó Alberto España, Gerente General y Vicepresidente Senior de GM Sectec International Operations.

Entre los cambios que la versión PCI DDS 4.0 introducirá se encuentran:

·         Seguridad como proceso continuo: PCI DSS 4.0 probablemente requerirá un monitoreo continuo del ecosistema de pagos para identificar intrusiones o ataques en el sistema en tiempo real y así poder detener el robo de datos de tarjetas de pago lo antes posible.

·         Frecuencia de prueba: Clayton anticipa que las empresas tendrán que probar los controles de seguridad con más frecuencia para asegurarse de que funcionan correctamente y son eficaces.

·         Autenticación: PCI DSS 4.0 también  incluirá controles más estrictos para el manejo de los accesos cuando un programador está desarrollando   aplicaciones. Si su empresa actualmente no tiene implementada una estrategia de control de acceso rigurosa, este podría ser un buen momento para hacerlo.

·         Evaluación de riesgos: El requisito de evaluación de riesgos puede modificarse para proporcionar una mayor claridad y orientación a las organizaciones sobre el proceso de gestión de riesgos. Será de suma importancia contar con personal capacitado para desarrollar un buen programa de gestión de riesgo e involucrar a diferentes personas y grupos dentro de las organizaciones para la identificación, evaluación y administración de los riesgos.

“Trabajar con un socio de pagos que ya cuente con controles de seguridad robustos e implementados siguiendo las normas establecidas puede ser la forma más fácil, conveniente y rentable de asegurarse de que todos los involucrados en el ecosistema de pagos con dinero plástico cumplan con el equilibrio establecido por el nuevo estándar a la misma vez que se asegura de que la seguridad en el backend esté hecha”, destacó así mismo España.