¿Cómo es posible que estés en tu casa y puedas reservar un hotel en la playa sin levantarte del sofá? ¿Cómo puedo ver el catálogo de productos de una marca de ropa y comprar un artículo introduciendo simplemente los datos de la tarjeta y sin firmar ningún resguardo? Son cuestiones que se plantean las personas mayores, como nuestros abuelos o incluso nuestros padres, que desconocen el mundo de la informática o que tienen nociones muy básicas sobre ella. No es sencillo explicárselo y que lo entiendan, pero pueden vivir sin comprenderlo, aunque ven el mundo tecnológico con cierta desconfianza, sobre todo a la hora de facilitar algunos datos personales necesarios en situaciones determinadas que los requieren, como por ejemplo, los datos asociados a sus tarjetas de pago en compras por Internet.
Desde los inicios de la humanidad, las personas se han visto obligadas a establecer relaciones económicas entre ellas para poder satisfacer sus necesidades básicas. Primero fue el trueque o intercambio de productos. Siglos más tarde llegó la moneda y el valor del dinero, y posteriormente mecanismos de pago más modernos como las tarjetas de crédito y débito. Con la llegada de Internet y de los ordenadores personales, primero las grandes multinacionales y después las pequeñas y medianas empresas, vieron la necesidad de anunciarse y promocionarse a través de ella. Poco después el comercio electrónico, las redes sociales, las comunicaciones móviles, los teléfonos inteligentes, etc, lo han vuelto a cambiar todo y se ha generado un abanico de posibilidades inimaginable hace unos pocos años.
Pero todo tiene su parte negativa. Los delincuentes han sabido adaptarse a los nuevos tiempos. Los primeros sistemas de pago conectados a Internet e implantados en tiendas virtuales eran muy básicos y sus mecanismos de seguridad muy precarios. Esta situación fue aprovechada por los ciberdelincuentes para apropiarse de millones de datos asociados a las tarjetas de pago con las que se habían efectuado transacciones. Dicho fraude supuso enormes pérdidas para las principales compañías que daban soporte a dichos sistemas de pago. Por lo que en el año 2006 Visa, MasterCard, American Express, Discover y JCB International formaron un comité denominado PCI SSC (Payment Card Industry Security Standards Council) para abordar el problema y definir una guía que ayudara a las organizaciones que procesan, almacenan y transmiten datos asociados a tarjetas de pago, con el fin de asegurar dichos datos y evitar los fraudes. Dichas directrices se aplicarían a todas las entidades involucradas en el procesamiento de las tarjetas de pago, incluyendo comerciantes, procesadores, adquirientes, emisores y proveedores de servicios. Fruto de estas directrices se definió la primera versión del estándar PCI DSS (Payment Card Industry Data Security Standard).
De acuerdo con el Privacy Rights Clearinghouse, más de 234 millones de registros con información sensible, han sido violados desde enero de 2005. El almacenamiento de datos sensibles sin las medidas de seguridad oportunas, expone a las empresas en mayor medida al fraude y a la piratería, de manera que aumenta el riesgo de tener que pagar miles de euros en daños y perjuicios al titular de la tarjeta afectado. Cumpliendo con el estándar PCI DSS, las empresas pueden disminuir en cierta medida dicho riesgo.
El PCI SSC cuenta con auditores autorizados conocidos como QSA (Qualified Security Assessor) que son los encargados de verificar periódicamente el cumplimiento del estándar PCI DSS por parte de las empresas que gestionan datos relacionados con las tarjetas de pago.
“A lo largo de varios años, el PCI SSC ha hecho un trabajo encomiable en la definición y evolución de un conjunto coherente de normas, así como escuchar y adaptarse con el tiempo al feedback aportado por los comerciantes, bancos, proveedores de servicio y proveedores de tecnología” señala Derek Brink, vicepresidente de la compañía Aberdeen Group. Y seguramente tenga razón ya que, durante los últimos 10 años, dicho comité ha sabido adaptarse a los nuevos tiempos. De hecho, actualmente el estándar PCI DSS se encuentra en su versión 3.2 y continúa recibiendo actualizaciones.
La aplicación del estándar PCI DSS se trata de un proceso continuo de mejora en el que: primero se evalúan todos los procesos de negocio para analizar posibles vulnerabilidades que podrían exponer los datos de los titulares de las tarjetas; segundo, se presentan los registros de validación e informes de conformidad al banco adquiriente y a la compañía de tarjetas involucrada y finalmente se resuelven las vulnerabilidades y no se almacenan los datos de los titulares de la tarjeta a no ser que sea necesario.
Algunas empresas piensan el PCI DSS es un estándar difícil de aplicar y que requiere un esfuerzo enorme. Pero si se hace el ejercicio mental de imaginar cuáles podrían ser los daños directos y colaterales en caso de robo y/o pérdida de los datos de tarjetas confiados por clientes a una organización, la posición y opinión respecto al estándar varía. Por otro lado, muchos comercios y proveedores de servicio grandes, medianos y pequeños han implementado de forma satisfactoria el estándar. En algunos de ellos probablemente la complejidad técnica sea más alta que la existente en su organización, pero aún así han realizado un análisis coste/beneficio y se han dado cuenta que es mejor implementar el estándar, que arriesgarse a perder su buena reputación y enfrentarse a multas y acciones legales.
Para concluir con este post me gustaría señalar que, a pesar de todas las medidas que se aplican para mejorar la seguridad en Internet y la legislación tan estricta que existe, lo que realmente suele suceder, es que los ciberdelincuentes siempre van un paso por delante. Con esto no quiero decir que robar datos sensibles y saltarse las leyes sea una tarea sencilla, y que los estándares y las medidas tomadas no sirven para nada. Todo lo contrario, la aplicación de estándares como el PCI DSS, en un ámbito tan sensible como los datos correspondientes a las tarjetas de pago, reduce las vulnerabilidades y riesgos de los sistemas que los gestionan, pero tampoco garantiza la total protección de los datos y correspondientemente de los usuarios, que son los que realmente sufren las consecuencias.
Referencias
- PCI SECURITY STANDARDS COUNCIL PUBLISHES SECURITY AWARENESS GUIDANCE: http://www.isaca.org/Groups/Professional-English/pci-compliance/GroupDocuments/14_10_29_Security_Awareness_SIG_Release_final.pdf
- The history of the PCI DSS Standar: http://searchsecurity.techtarget.com/feature/The-history-of-the-PCI-DSS-standard-A-visual-timeline
- PCI SECURITY: https://www.pcisecuritystandards.org/pci_security/
- PCI-DSS The Payment Card Industry Data Security Standard: https://www.arx.com/files/DOCUMENTS/PCI-DSS-Fact-Sheet.pdf
- PCI QSA: http://searchsecurity.techtarget.com/definition/PCI-QSA
Daniel Guzmán Castroviejo
Latest posts by Daniel Guzmán Castroviejo (see all)
- IoT sí, pero IoT segura - 17 enero, 2017
- El difícil arte de la simplicidad - 11 diciembre, 2016
- ISO 27001 y futuro de PCI DSS - 1 diciembre, 2016
Muy bien, muy buena redacción y bien centrado el contexto. A ver qué nos cuentas en el futuro sobre el lado oscuro de PCI DSS!