La industria de medios de pago apremia a adoptar PCI DSS
Pasada la fecha para cumplir el estándar de seguridad para tarjetas de crédito PCI DSS, las empresas españolas vinculadas a este medio de pago deben someterse a los procesos adecuados para validar su cumplimiento y evitar así comprometer la información contenida en las tarjetas y la imagen de su organización.
El mercado de tarjetas de crédito en España crece a un ritmo del 20% al año, según el estudio “Plástico Precioso 2008” de Pricewaterhouse Coopers. El nuestro es uno de los países donde más rápido crece, principalmente debido al auge del comercio electrónico, el fuerte crecimiento de los viajes internacionales y la mejor predisposición de las nuevas generaciones. Sin embargo, esta popularidad hace que las tarjetas de crédito sean también uno de los medios más utilizados a la hora de cometer fraude y robo a los usuarios.
Con el fin de salvaguardar la información contenida en las tarjetas de crédito, las principales marcas de la industria de medios de pago -VISA, MasterCard, American Express, JCB y Discover- constituyeron el consejo de normas PCI Security Standards Council, artífice a su vez de un protocolo de seguridad para prevenir la sustracción de datos de tarjetas. “El Payment Card Industry Data Security Standard (PCI DSS) establece un conjunto de medidas que pretenden garantizar la información asociada a pagos con tarjeta. PCI DSS alinea las principales iniciativas de seguridad que habían existido 
hasta el momento para crear un marco global de seguridad coherente”, explica Vanesa Gil, manager de consultoría de la empresa de seguridad española S21sec (para ver entrevista en vídeo pinche sobre la imagen).
El estándar protege dos tipos de datos: la información de los titulares (el número de tarjeta, el nombre del titular, fecha de expiración) y la información sensible de autenticación, banda magnética de la tarjeta, pin y código de validación que se utiliza para transacciones no presenciales. “PCI DSS abarca una serie de restricciones al almacenamiento de datos de tarjetas; en concreto se prohíbe el almacenamiento de determinada información después de la autorización de la transacción. Por ejemplo, no se puede almacenar la banda magnética completa y, en ningún caso, el pin de la tarjeta. Cuando compramos en Internet hay que introducir los cuatro dígitos detrás de la tarjeta y en el momento en que se autorice la transacción tienen que borrarse”.
Además de este tipo de medidas, el protocolo del PCI Security Standards Council contempla otras vías de protección física. En conjunto, el marco de PCI DSS se compone de 12 requerimientos de seguridad organizados en seis categorías: crear y mantener una red segura; proteger los datos del titular de la tarjeta; mantener un programa de gestión de vulnerabilidades; implementar fuertes medidas de control de accesos; monitorizar y testar las redes de forma regular, y mantener una política de seguridad de la información.
Proceso de implantación
Cualquier entidad que participe en el procesamiento, transmisión o almacenamiento de información de tarjetas de crédito tiene que cumplir PCI DSS. Por tanto, se identifican tres tipos de organizaciones susceptibles de su cumplimiento: comercios, entidades financieras o proveedores de servicios como pasarelas de pago, fabricantes de tarjetas, servicios de envío de tarjetas o procesadores de transacciones como SERMEPA, la CECA o los sistemas como 4B. Una de las primeras entidades españolas “PCI-DSS Compliant” es ATCA (Asociación Técnica de Cajas de Ahorros), que agrupa a Caja Inmaculada, Caja Rioja, Caixa Sabadell y La Caja de Canarias. La organización se ha sometido a los procesos necesarios para cumplir con la norma PCI DSS asesorada por S21Sec, certificada como Qualified Security Assessor Company (QSAC) para la realización de las auditorías anuales in-situ y como
