El cumplimiento PCI, a examen

El Payment Card Industry Data Security Standard (PCI DSS), o Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago, es una guía elaborada por un comité formado por las compañías de tarjetas bancarias más importantes que ayuda a las empresas que procesan, almacenan y/o transmiten datos de tarjetas con un doble objetivo, por un lado asegurar los datos y por otro evitar los fraudes.

Recientemente Verizon publicó un estudio sobre el estado del cumplimiento PCI que indica que cada vez son más las empresas que logran algún tipo de cumplimiento. Entre 2013 y 2014. Los ratios de cumplimiento PCI alcanzaron un 11 sobre 12; el área donde más se falla es el relativo a la seguridad. Según datos del informe, alrededor del 20% de las empresas examinadas eran cumplían con todos los requisitos de PCI en la evaluación, en comparación con poco más de 11% en 2013 y apenas el 7,5% en 2012.

Mantener el cumplimiento por un año parece más complicado, ya que sólo el 28,6% son capaces de cumplir con la normativa PCI durante todo ese tiempo. En este punto el informe de Verizon apunta a que las compañías de han sufrido brechas de seguridad pueden haber sido validadas en cuanto al cumplimiento en el año anterior, pero no significa que cumplieran con el estándar en el momento de la brecha de seguridad. De hecho, se ha demostrado que durante los últimos diez años ni una sola de las empresas que sufrieron una brecha de seguridad de sus datos cumplía con los requisitos de PCI en el momento del incidente.

Quizá es que cumplir con ese estándar es demasiado complicado. Desde el punto de vista técnico hay que tener en cuenta la complejidad de los sistemas en un entorno de TI, el diseño de la arquitectura, la localización física de los sistemas o la manera en que están interconectados para calcular el nivel de inversión y el esfuerzo que se requiere para mantener el cumplimiento, según recoge el informe de Verizon.

¿Por qué es importante la seguridad de los pagos electrónicos? Saber que el 69% de las usuarios están menos inclinados a hacer negocios con una empresa que ha sufrido una brecha de seguridad, es una gran cifra. En Estados Unidos 45 de los 50 Estados tienen leyes que fuerzan a las empresas a anunciar públicamente cualquier pérdida de datos. Otros países también las tienen, y muchos más están estudiando hacerlo.

De hecho, el Parlamento Europeo ha aprobado el primer borrador de una ley que afectaría a todos los países miembros y que obligaría a hacer lo mismo. De forma que en menos de lo que esperamos ningún país, ninguna industria y ninguna empresa estará a salvo.

En su informe, Verizon enumera los costes asociados a una brecha de seguridad:

• Multas
• Costes de la notificación, reexpedición de tarjetas y monitorización de las partes afectadas
• Investigación forense y remediación
• Daños en la reputación de la marca, pérdida de confianza del cliente y/o partner y de negocio
• Impacto negatico en la confianza del usuario y consumidor
• Caída del precio de las acciones
• Aumento de las tasas de intercambio que cobran los bancos

En cuanto a las ventajas de cumplir con la normativa PCI DSS, más allá de la protección de los datos y el cumplimiento, representa una oportunidad de optimización del negocio y de hacer frente a otros problemas:

• El aumento de la conciencia del empleado y la creación de una postura más activa y alerta de seguridad en toda la organización.
• Simplificar y consolidar la arquitectura de TI a través de rediseño, el hardware y software de las compras y la corrección u optimización de los procesos de negocio.
• Mejora de los procesos de negocio y gestión de procesos como resultado, por ejemplo, de una mayor transparencia en los flujos de datos o mediante el seguimiento de mejores prácticas.
• La creación de mejores relaciones con los socios y proveedores a través de una mayor claridad de los roles y responsabilidades.