Estándares inalámbricos y de virtualización para proteger el pago con tarjeta
El PCI Security Standards Council, responsable del desarrollo e implementación de estándares de seguridad para la protección de los datos de titulares de tarjetas, avista cambios regulatorios en esta industria que tendrán su implicación tecnológica.
El consejo, formado por unos 500 miembros, acaba de completar el proceso anual para elegir a su junta de consejeros. Cisco y Citrix Systems se encuentran entre los elegidos que darán su opinión sobre las iniciativas de esta entidad. Entre ellas, se encuentran nuevos requisitos en torno al uso de tecnologías de virtualización e inalámbricas, así como una respuesta definitiva sobre cómo fijar los límites de las evaluaciones PCI.
Aún no está claro si el consejo respaldará el concepto de encriptación de extremo a extremo para que la industria pueda luchar contra el fraude en tarjetas de crédito. No se han fijado una fecha límite, pero el consejo espera poder tener para este verano un documento sobre el uso de tecnología inalámbrica, con la aportación del Wireless Special Internet Group (SIG), liderado por Verifone.
También han anticipado que antes de finales de año habrá una guía sobre el uso de tecnologías de virtualización, de acuerdo con el director técnico del consejo, Troy Leach. La principal aportación vendrá, en este caso, del Virtualization SIG, encabezado por Bank of America.
También se ha creado un nuevo grupo de interés especial, el PCI Scoping SIG, establecido para clarificar cómo construir una red empresarial para evitar que la mayor parte de ella –la que no jugará un papel destacado en el procesamiento de pagos con tarjeta – pueda caer bajo los límites de los requerimientos y evaluaciones PCI. Este grupo está liderado por PayPal.
Un cuarto grupo está encabezado por Exxon Mobile y se dedica a Autorización y preautorización. Su función es definir las normas de seguridad para los datos de titulares de tarjetas antes y después de que hayan sido enviados a un procesador.
Además, el consejo espera nombrar a una firma tecnológica para definir un posible método que la industria de medios de pago podría utilizar para la encriptación de extremo a extremo. El PCI Security Standards Council también desea abordar la necesidad de requisitos y certificaciones más estrictos para los lectores de tarjetas de pago en terminales automáticos, como gasolineras, con el fin de proteger los números de identificación personal en dispositivos punto de venta.
Los actuales estándares de seguridad de datos, PCI DSS 1.2, se publicaron el pasado octubre. Actualmente, el consejo se encuentra en un año de reflexión y espera lanzar una posible versión 1.3 ó 2.0 en 2010.
