Jaime Gutiérrez de Mesa,
Business Developer Cloud Computing de Ibermática

Hoy en día vivimos en un mundo donde todo está digitalizado, rodeados de dispositivos que nos hacen la vida más fácil y nos permiten acceder a toda la información personal desde un único punto y a cualquier hora. Las redes sociales han modificado la manera de relacionarnos con nuestro entorno, creando nuevas escalas de valores. Pero sobre todo, la digitalización de la sociedad ha traído consigo un proceso de transformación que afecta a todos nuestros hábitos de comportamiento y, principalmente, de consumo.

Las últimas encuestas realizadas recogen que, a día de hoy, el 76% de los internautas reconoce haber realizado alguna compra on-line en el último año, sobre todo en los sectores de ocio, moda y tecnología. El grado de adopción es muy variable, pero lo que es una realidad es que el comercio on-line no para de crecer, y compañías con una presencia importante en el sector de cash&carry están adaptándose a esta nueva realidad, transformado su negocio para poder competir con nuevos players como Amazon, Alibaba o Rakuten.

Este aumento en el volumen de comercio electrónico está trayendo consigo también un incremento del uso de las tarjetas de crédito, que son el método favorito de pago para este tipo de compras, además del recomendado por las entidades financieras para estas transacciones. Tanto el número de tarjetas existentes como el volumen de las compras realizadas han experimentado en los últimos 10 años un crecimiento exponencial, llegando a superar los pagos en efectivo.

Este aumento del comercio electrónico y uso de tarjetas de crédito no ha pasado desapercibido para los amantes de lo ajeno, y el fraude en las operaciones de compra online se ha disparado. En 2004, del total del fraude cometido con las tarjetas de crédito casi el 50% se debía al robo (23%) y falsificación (26%). En 2014, tan sólo 10 años después, la radiografía del sector había cambiado completamente, y casi el 70% del fraude se realizaba en las compras no presenciales (teléfono e Internet), mientras que las falsificaciones de tarjeta habían reducido su peso.

Normativa de seguridad

Este cambio de tendencia ha provocado que las entidades emisoras de tarjetas deban poner atención a este tipo de fraude, pues se espera que en los próximos años el comercio electrónico siga experimentando importantes crecimientos. La clave está, por lo tanto, en establecer unas normas de seguridad que deben cumplir todas las compañías que quieran/necesiten gestionar pagos con tarjeta de crédito a distancia, para garantizar que los datos relativos a éstas se recojan, almacenen, y transmitan cumpliendo todas las medidas de seguridad adecuadas.

Por este motivo, las principales compañías emisoras de tarjetas de crédito han lanzado el estándar PCI -DSS (Payment Card Industry Data Security Standard), con el objetivo de fomentar y mejorar la seguridad en el tratamiento de los datos relativos a las tarjetas y tratar de reducir el fraude, definiendo las medidas de seguridad “consistentes” que deben adoptarse a nivel mundial.

El estándar PCI -DSS cubre tanto políticas y normativas de seguridad, como arquitecturas de red, diseño de software y todo tipo de medidas de protección que intervienen en el tratamiento, procesado o almacenamiento de información relativa a las tarjetas de crédito.

Los principales elementos protegidos por la normativa PCI -DSS son:

• Los sistemas de información donde se almacenan los datos de tarjetas de crédito (hardening y encriptación).
• Las redes que dan servicio a esos sistemas (construcción y mantenimiento).
• Pruebas de vulnerabilidades consistentes.
• Implementación de controles de acceso robustos.
• Monitorización y pruebas de accesos a la red de manera regular.
• Mantenimiento de las políticas de seguridad de la información.

Cualquier organización que participe en el procesamiento, transmisión o almacenamiento de información de tarjetas de crédito debe garantizar el cumplimiento de los requerimientos de PCI-DSS, independientemente del tamaño de la entidad o del volumen de transacciones realizadas. El cumplimiento de la norma no es obligatorio a día de hoy, es sólo una recomendación, pero en caso de no cumplir, las entidades asociadas podrían imponer sanciones a las empresas, o peor aún, rescindir el contrato para evitar que sus tarjetas puedan ser utilizadas por la compañías.

El cumplimiento del estándar PCI-DSS no es igual para cualquier entidad. El órgano regulador del estándar ha establecido 4 niveles de cumplimiento, en función del número de transacciones con tarjeta procesadas por año. Adicionalmente hay compañías que por su especial idiosincrasia son incluidas en el nivel más estricto o, que por haber sufrido algún ataque que haya comprometido datos de tarjeta, deben pasar la auditoría para confirmar que los posibles problemas ya han sido resueltos.

Todas las organizaciones que manejan en su actividad diaria datos relativos a tarjetas de crédito deben ser conscientes del riesgo que supone sufrir un ataque que pueda comprometer la seguridad de la información de sus clientes/usuarios. La mejor forma de mitigar esos riesgos es contar con la certificación (acorde a su nivel), ya que de esa manera está garantizado que se cumple con todos los requisitos impuestos por los propios emisores de tarjetas.

Los principales beneficios derivados de la obtención de la certificación son:

• Proporcionar una posición privilegiada frente a nuevas oportunidades, ya que toda entidad que almacene, transmita o procese datos de tarjeta debe cumplir con PCI-DSS y velar porque sus proveedores no supongan un vector de riesgo a los datos de tarjetas.
• Implementar un marco de seguridad (como PCI-DSS) permite aportar garantías adicionales sobre la seguridad de los datos y reducir el riesgo que suponen las amenazas, cada vez más presentes, sobre los datos de tarjetas. También reduce la probabilidad de un incidente y proporciona confianza adicional de los clientes.
• Demostrar cumplimiento (y esfuerzo por mantener) la norma PCI -DSS minimiza las penalizaciones de las marcas y las entidades adquirientes en caso de incidentes.

Por lo tanto, todas las compañías que hacen negocios a través de Internet no pueden permitirse que sus posibles clientes asuman riesgos a la hora de facilitar sus datos de tarjeta y, desde luego, no pueden permitirse tampoco sufrir un incidente de robo de datos que lastraría su confianza e impactaría de manera directa en su negocio. Para mitigar estos riesgos y crear una ventaja competitiva, es fundamental desplegar los servicios relativos a tarjetas sobre una plataforma certificada PCI y certificar también todo el proceso de tratamiento de datos, para aportar la confianza a los clientes de que sus datos siempre estarán protegidos.