El estándar PCI DSS (Payment Card Industry Data Security Standard) ha demostrado ser una forma eficaz de proteger los datos de titulares de tarjetas de pago o datos privados de autenticación. Aunque dicha certificación ha sido más lenta en América Latina que en otras regiones del mundo, su implementación debe acelerarse ya que de lo contrario representará una puerta de entrada a la ciberdelincuencia.
Una estimación de la consultora Americas Market Intelligence destacó que para 2022 en América Latina había 99 millones de titulares
de tarjetas de crédito, en comparación con 169 millones que son solo titulares
de tarjetas de débito y 117 millones que no están bancarizados. Por ello, la
normativa PCI DSS juega un papel fundamental para evitar filtraciones
de datos dentro de todo el ecosistema de pagos.
Oswaldo Palacios, Senior Account Executive para
Akamai, mencionó que el estándar PCI DSS forma parte de los requisitos para
transaccionar con tarjetas de crédito, por lo cual bancos e instituciones
financieras están obligados a su adopción para garantizar con ello que los
datos de los consumidores estén protegidos en todo momento al hacer uso de una
tarjeta de débito o crédito.
Para mejorar la seguridad de los datos de los
consumidores, varias empresas de tarjetas de crédito, tales como: VISA,
Mastercard, Discover, JCB y American Express formaron el Consejo de Normas de
Seguridad para la Industria de las Tarjetas de Pago (PCI SSC, por sus siglas en
inglés) para garantizar su transparencia de operación. Esto aunado a las
regulaciones gubernamentales, han hecho de PCI un “must” para cualquier
compañía que transaccione con tarjetas de crédito y débito.
Ante una alta tasa de incidencia de riesgos asociados
con el robo de datos, la banca o el sector financiero debe aplicar controles
de seguridad eficientes y sólidos cuando se trata de salvaguardar los
datos de las tarjetas bancarias. Latinoamérica es considerada una de las zonas
con más fraudes en tarjetas de pago, problema que se agravó con el aumento de
sitios de comercio electrónico y la digitalización.
Según un estudio de 2022, los comercios en línea de cuatro regiones del mundo declararon haber perdido casi el 3% de sus ingresos por comercio electrónico debido al fraude en los pagos. En particular, América Latina registró una pérdida mayor, del 4,6%, mientras que América del Norte obtuvo la pérdida más baja, del 2,4%.
¿Por
qué la banca debe adoptar el estándar PCI DSS?
Aquellas instituciones bancarias que adoptan el
estándar PCI DSS logran disminuir el riesgo de sufrir ciberataques o
ciberfraudes, lo cual es fundamental cuando se procesan o almacenan datos
confidenciales. Otros beneficios son: establecer alianzas comerciales, mejorar
la gestión de incidentes de ciberseguridad, otorgar confianza al consumidor,
evitar multas y procesos legales.
Al respecto, Oswaldo Palacios resaltó que uno de
los motivadores de dicha normativa es proteger a la banca de amenazas
como el ransomware, debido a que puede propagarse de una manera tal que
pueden evadir controles de ciberseguridad tradicionales como Firewalls, XDR
(detección y respuesta ampliadas) e IPS (sistema de prevención de
intrusos). Por esto, el estándar ha evolucionado y pide que el alcance de las
comunicaciones se reduzca mediante Microsegmentación ya que dicha práctica
ayuda a mejorar la postura de ciberseguridad de las organizaciones.
El directivo explicó que PCI DSS pide a las
instituciones la reducción del alcance de comunicación en los activos que
“tocan” PCI o datos de los tarjetahabientes; dicha acción se puede hacer
mediante Microsegmentación, ya que sin generar cambios en la infraestructura se
puede realizar una separación de tráfico de Red y accesos no autorizados o
innecesarios en infraestructura crítica.
Es importante mencionar que las redes y
aplicaciones que están en el ámbito de las normativas PCI DSS son complejas.
Pueden abarcar varias máquinas, incluir entornos híbridos como contenedores y
máquinas virtuales e incluso trabajar en varias ubicaciones físicas o zonas
horarias. La Microsegmentación se está convirtiendo en una opción indispensable
para el cumplimiento normativo, como PCI DSS.
También la Microsegmentación permite una
visibilidad de todas las aplicaciones y cargas de trabajo a nivel de proceso,
además de crear políticas flexibles que se centren en el cumplimiento normativo
y aplicarlas para controlar una postura de seguridad general que
le permita estar preparado para cualquier auditoría.
Más adelante, el experto de Akamai destacó que el
incumplimiento de la normativa puede acarrear consecuencias a las instituciones
financieras y bancos, que van desde no poder operar pagos y transacciones con
tarjetas de débito y crédito, multas por parte de los gobiernos o reguladores
financieros, más el daño reputacional.
Por último, Oswaldo Palacio advirtió que si una
institución financiera o banco no cumple con el estándar PCI, no podrá
transaccionar con tarjetas de crédito y probablemente su alcance se reduciría a
una caja de ahorro o una simple organización que recaba dinero de consumidores
para algún fin determinado como el ahorro.
Los requisitos de Cumplimiento de PCI
seguirán evolucionando, pero la implementación de soluciones potentes permite a
los departamentos de IT proactivos cumplir con los actuales y, al mismo tiempo,
establecer una base sólida para futuras mejoras de Seguridad de Datos.
Fuente: revistaseguridad360.com
No hay comentarios.:
Publicar un comentario