/ Seguridad

Seguridad en el tratamiento de tarjetas de crédito ¿Cómo se mide?

Cuando tienes un sistema de pagos por tarjeta de crédito o débito debes cumplir con los estándares de seguridad recomendados, el no hacerlo puede poner en riesgo a tus clientes y a tu propia empresa, así que hoy intentare explicar de forma muy breve lo básico sobre estos estándares.

Según el último informe de seguridad publicado por Verizon las empresas que sufrieron robo de información financiera no eran totalmente compatibles con los protocolos de seguridad sugeridos, así que presta atención ya que si procesas pagos y no cumples con las normas es muy probable que tengas algún incidente o que ya esté ocurriendo y no te hayas dado cuenta.

¿Por qué la seguridad debería ser una prioridad?

Según Verizon la confianza es lo que importa, el 66% de los clientes dicen que es poco probable que confíen de nuevo en una empresa que ha experimentado una violación de datos exponiendo información financiera y sensible.

Tal vez hay algo peor que la pérdida de confianza y es el costo financiero de un incidente de este tipo de datos tan sensibles.

Esto incluye informar a los clientes que su información pudo haber sido hackeada y por lo general proporcionarles asistencia (como la supervisión de crédito) además si no cumples con los requisitos legales en el aviso de privacidad o términos y condiciones tendrás que estar dispuesto a enfrentar millonarias sanciones y demandas.

Protocolos de cumplimiento

Todas las Empresas, incluidas las pasarelas de pago, tiendas en línea y comercios físicos, que almacenan, procesan o transmiten datos de tarjetas de pago están obligados por VISA, MasterCard, Discover, American Express y otras marcas de tarjetas a cumplir con los estándares PCI DSS.

Estos estándares fueron creados por el Consejo de Estándares de Seguridad PCI, fundado en 2006 por American Express, Discover, JCB International, MasterCard y Visa.

De los incidentes de seguridad que Verizon investigó entre 2010 y 2016, ninguna empresa cumplía totalmente con el PCI DSS.

Hay 12 requisitos clave para cumplir el estándar PCI DSS

Construir y mantener una red y sistemas seguros

1.---- Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta.
2.---- No utilizar los valores predeterminados suministrados por el proveedor del sistema y otros parámetros de seguridad.

Proteger los datos del titular de la tarjeta

3.---- Proteger los datos almacenados del titular de la tarjeta
4.---- Encriptación de datos del titular de la tarjeta a través de internet

Mantener un programa de gestión de vulnerabilidades

5.---- Proteja todos los sistemas contra el malware y actualice regularmente el software o los programas antivirus.
6.---- Desarrollar y mantener sistemas y aplicaciones seguras

Aplicar fuertes medidas de control de acceso

7.---- Restringir el acceso a los datos del titular de la tarjeta
8.---- Identificar y autenticar el acceso a los componentes del sistema
9.---- Restringir el acceso físico a los datos del titular de la tarjeta

Monitorear y probar regularmente las redes

10.---- Realice un seguimiento y supervise todo el acceso a los recursos de la red y a los datos del titular de la tarjeta.
11.---- Pruebe regularmente el sistema y los procesos de seguridad
12.---- Mantener una política que aborde la seguridad de la información para todo el personal.

Dicho lo anterior si te interesa cumplir estas normas no dudes en investigar en la pagina oficial de PCI.

Hasta aquí el post de hoy.

Saludos, Jesús Verduzco (El Yisus)