PCI DSS: ha llegado la hora
El 30 de septiembre fue la fecha límite para cumplir con el estándar de seguridad para medios de pago PCI DSS. Los comerciantes tendrán que someterse a las guías de la versión 1.2 de la norma o atenerse a las consecuencias de su incumplimiento.
La norma PCI DSS (Payment Card Industry Data Security Standard) estipula varios niveles para los comercios; por ejemplo, el nivel 1 son aquellos que manejan más de seis millones de transacciones al año. Y esos son los que tendrán que ser compatibles con el estándar a partir del 30 de septiembre de 2010. No obstante, el plazo también atañe a los de nivel 2, 3 y 4 (la mayoría de las tiendas online) porque cualquier empresa que sufra una brecha de seguridad pasará inmediatamente al nivel 1, lo que supondrá políticas, procesos y costes adicionales.
Cualquier entidad que participe en el procesamiento, transmisión o almacenamiento de información de tarjetas de crédito debe cumplir con el estándar PCI DSS, que establece medidas para garantizar la información asociada a pagos con tarjeta. El estándar protege dos tipos de datos: la información de los titulares (número de tarjeta, nombre del titular, fecha de expiración) y la información sensible de autenticación, banda magnética de la tarjeta, PIN y código de validación que se utiliza para transacciones no presenciales.
Multas económicas por incidentes de seguridad de datos, responsabilidad por las pérdidas incurridas como resultado de números de cuentas robados o suspensión de cuentas comerciales son algunas de las consecuencias del incumplimiento de la norma, por no hablar del impacto negativo en la imagen de la organización.
El PCI Security Standards Council es el organismo encargado de desarrollar y difundir los estándares de seguridad relativos a la protección de datos de cuentas, y quien ha definido el 30 de septiembre como fecha límite para someterse a la versión 1.2. ¿Qué sucede si una empresa no cumple el plazo? En primer lugar, aunque el consejo determine una fecha de cumplimiento, son las compañías emisoras de tarjetas (Visa, Mastercard, etc) las responsables de exigir a las entidades que manejan datos sobre medios de pago. De hecho, el propio FAQ (preguntas más frecuentes) de esta entidad no fija límite alguno.
El cumplimiento de PCI DSS debe abordarse como un proyecto continuo, no puede realizarse de hoy para mañana. Con frecuencia, los comercios han considerado el cumplimiento de PCI como si fuera tarea de un solo departamento de la empresa, sin contemplar cómo las medidas que implica pueden mejorar la eficiencia operacional de todas las áreas de la organización. Deberían implantarse soluciones de monitorización que puedan añadir valor en tantas áreas como sea posible. El PCI Security Standards Council dice a los comerciantes que “no es suficiente validar la conformidad anualmente y o adoptar seguridad en las continuas prácticas empresariales de la organización. La validación de los principios y prácticas de PCI DSS forman una parte integral de la postura de seguridad de una organización”.
El plazo para cumplir con el estándar 1.2 de PCI DSS expiró el pasado 30 de septiembre de 2010 y, pero las empresas que no hayan adoptado la norma no deberían dejar pasar la oportunidad de revisar sus procesos y tratar de acoplarse a las medidas que propone, porque, probablemente, en caso de sufrir una brecha de seguridad, las marcas de tarjetas sí podrían imponerle sanciones. No obstante, ya está en preparación una nueva versión del estándar PCI DSS 2.0.
