Seguramente has escuchado sobre la certificación PCI DSS para compañías que manejan pagos. Es entregada por el PCI Security Standards Council a las instituciones que cumplen con ciertos estándares de seguridad de manejo de datos, específicamente datos relacionados a pagos de consumidores.
¿Por qué es importante?
Primero, porque es una certificación creada por y para la industria. El PCI Security Standards Council fue creado en 2006 por las principales marcas de tarjetas: Visa, Mastercard, American Express, JCB y Discover. Su objetivo principal es proteger a la gente, sus procesos y las tecnologías involucradas en el ecosistema de pagos, para asegurar que el estándar de seguridad se respete en todo el mundo. La normativa ya va hoy en su versión 4.0, que entró en vigor desde marzo de 2024.
Otra razón para tener en cuenta esta certificación es el estado actual de la ciberseguridad. Según Statista, solo en el primer trimestre de 2023, 6.41 millones de registros de datos fueron filtrados en todo el mundo, impactando a empresas y personas individuales.
Específicamente en fraudes de tarjetas de crédito, se estima que las pérdidas por este concepto pueden llegar a US $43 billones para 2026, según datos de SmartMetric.
¿Qué establece la certificación PCI DSS?
Para que una empresa pueda tener la certificación internacional, se toman en cuenta 12 factores:
1. Instalar y mantener una configuración firewall para proteger los datos de los titulares de las tarjetas.
2. No utilizar valores predeterminados para contraseñas del sistema y otros parámetros de seguridad.
3. Proteger los datos almacenados de los titulares de las tarjetas.
4. Cifrar la transmisión de los datos de los titulares a través de redes públicas abiertas.
5. Usar y actualizar el software antivirus.
6. Desarrollar y mantener aplicaciones seguras.
7. Limitar el acceso a los datos de los titulares de las tarjetas.
8. Asignar una identificación única a cada persona con acceso a una computadora.
9. Restringir el acceso físico a los datos de los titulares de las tarjetas.
10. Rastrear y monitorear todo acceso a los recursos de la red y los datos de titulares.
11. Probar regularmente los sistemas y procesos de seguridad.
12. Mantener una política que aborde la seguridad de la información.
¿En qué debo fijarme como consumidor?
Es importante que las empresas a través de las que realizas pagos cuenten con certificaciones de seguridad. Si es el estándar PCI DSS, mejor aún. Pero esto no es todo, la certificación PCI DSS se renueva año a año, por lo que hay que estar atento a los sellos vigentes de cada año.
Si bien el uso de la certificación PCI DSS ha aumentado en 167% desde 2012, acorde a un reporte de Verizon, se estima que todavía existe alrededor de un 80% de compañías que sí procesan pagos sin contar con estándares adecuados de seguridad.