El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS por sus siglas en inglés) abarca áreas que van desde la seguridad física, hasta el cifrado de datos y el control de accesos; por lo que cumplir con éste implica para las compañías comprometer recursos de manera significativa y a largo plazo.

Por algo, actualmente hay organizaciones líderes dedicadas al procesamiento de tarjetas de crédito, incluyendo VISA, Master Card y American Express, que solicitan a las empresas que manejan datos de tarjetas de crédito implementar y fortalecer estrictos controles de seguridad, así como contar con una robusta infraestructura, procesos y personal capacitado para responder a este desafío.

Si bien en México no existe una fecha límite para el cumplimiento del estándar PCI DSS, que consta de 12 requerimientos, VISA está trabajando con los bancos adquirientes para asegurarse de que tanto éstos como sus comerciantes estén en línea con esto.

De igual forma, muchos comerciantes, instituciones financieras y otras organizaciones están trabajando sobre este tema. Incluso, sobresale el hecho de que algunas organizaciones consideran que los esfuerzos de cumplimiento con el estándar PCI DSS representa una oportunidad para generar un retorno de inversión a largo plazo.

En contraste, también ha habido confusión entre quienes deben cumplir con la norma, esto derivado de malos entendidos sobre el estándar, los cuales se han traducido en numerosos mitos que a veces, son difíciles de separar de la realidad.

Mito 1 – El estándar PCI es difícil

No es raro encontrar a personal de IT preguntándose por dónde empezar para cumplir con PCI, y es que ante la perspectiva de 12 áreas de requerimientos, muchos pueden verse desalentados por el sólo hecho de entender el sentido de estos extensos lineamientos.

Pero para no perder en el intento, es necesario partir de la base de que el estándar PCI hace un llamado a una seguridad adecuada y básica. De manera que es muy probable que una compañía diligente cumpla con la mayoría de los requerimientos, antes de evaluar su nivel de cumplimiento con dicho estándar.

También vale la pena destacar que los departamentos de IT no tienen que reinventar la rueda para cumplir con PCI, ya que existen un gran número de productos y servicios disponibles para ayudar a satisfacer casi cualquiera de sus requerimientos.

De igual forma conviene prestar atención a aquellos que dicen que el cumplimiento de este estándar es difícil cuando lo que quieren decir es que no es barato. Los profesionales de seguridad de IT saben que usualmente hay diferencias entre el cumplimiento del estándar y las normas de seguridad de la empresa, y que a veces se realizan enormes esfuerzos para determinar una manera mejor de reducir estas brechas, los cuales no prosperan debido a sus altos costos.

No obstante, a fin de cumplir con el estándar PCI, las organizaciones deben darse cuenta que los requerimientos de una estrategia básica de seguridad sana no se pueden ignorar, y que a menudo esto significa ampliar el presupuesto de seguridad.

Mito 2 – El PCI nos mantendrá seguros

Una vez que una compañía cumple con este estándar puede caer en la autocomplacencia pensando que es invulnerable. Pero lo cierto es que si este requerimiento está diseñado para instituirse como una medida básica de seguridad, no es la panacea sino un esfuerzo continuo, pues con el paso del tiempo, es fácil dejar de lado el cumplimiento y, por lo tanto, aumentar las vulnerabilidades.

Es imperativo entonces utilizarlo para crear conciencia sobre la importancia de la seguridad de la información, construyendo una fortaleza cada vez más sólida en torno a los datos sensibles de una compañía.

Mito 3. La encriptación es atemorizante

Uno de los requerimientos que mayor temor genera entre las organizaciones es la encriptación. Hay dos diferentes tipos de codificación especificados por el PCI: los datos en reposo y los datos en movimiento.

Los segundos son los más fáciles y los más comunes. Esto se cubre en el requerimiento 4 del estándar: “encriptar las transmisiones de los datos de los tarjeta habientes, a través de redes públicas abiertas”, lo que para la mayoría de las organizaciones significa utilizar túneles de IPsec o VPN´s SSL. Lo anterior es algo que para la mayoría de las empresas representa poca dificultad.

El nerviosismo se incrementa cuando hay que enfrentar el concepto de datos en reposo, lo cual significa encriptarlos mientras están almacenados en el disco duro.

Tradicionalmente este nivel de encriptación implicaría la implementación de una infraestructura completa de llaves públicas (PKI). Por fortuna, los lineamientos de PCI en ésta área no son imposibles de cumplir. El requerimiento 3.4 menciona que sólo el número de cuenta primario (PAN) debe ser protegido utilizando uno de cuatro métodos especiales.

Pero el almacenamiento de otros datos, como los de seguimiento y del PIN, ni siquiera está permitido. Por lo tanto, para la mayoría de las compañías el cumplimiento con esto es simplemente una cuestión de proteger las bases de datos, donde reside la información del PAN, a través de la encriptación de la columna o de todo el disco para proteger los números de cuenta.

Mito 4 - “No manejo un gran volumen de información de tarjetas de crédito...”

Un malentendido común es que si bien el PCI clasifica a los proveedores de servicio y a los comerciantes de tarjetas de crédito en diferentes categorías o niveles, basándose en el tipo de transacciones que procesan, no existe diferencia en los requerimientos de cumplimiento.

La principal confusión está entre la validación y el cumplimiento. El PCI regula a cualquier entidad que almacene, procese o transmita datos de tarjeta de crédito, la cantidad de validaciones es el verdadero diferenciador.

Las diferencias fundamentales entre un gran comerciante y uno pequeño son sólo en relación a la cantidad de validación de terceros que debe hacerse para cumplir con el proceso de certificación.

Mito 5 – Hay un camino más fácil para cumplir con el estándar

Si bien hay proveedores que ofrecen documentos con información valiosa para ayudar al staff de IT a tomar decisiones responsables orientadas a mitigar las brechas de su estatus de cumplimiento del estándar PCI, otros exageran sus afirmaciones y prometen mucho más de lo que pueden entregar.

Las 12 secciones previstas en el estándar PCI contienen muchos detalles que deben ser cumplidos. A la fecha no hay un solo producto o un solo proveedor que pueda proporcionar todo lo necesario para cumplir al 100%

Una táctica más prudente es que las empresas desarrollen una estrategia holística de seguridad, concentrándose en las intenciones generales de los requerimientos. Enfocarse en un solo producto puede ser el primer paso de una pesadilla a futuro.