Los negocios con bases de operación sólidas se enfrentan a los retos del día a día con la determinación de salir fortalecidos. Muchas veces estos cambios son impulsados por adelantos tecnológicos legítimos, que son aprovechados como una herramienta competitiva. Por ejemplo: la democratización de internet que impulsó la creación de canales digitales de las compañías, con el objetivo de agilizar la comunicación entre marca y persona.
Otras veces, las evoluciones tecnológicas son más bien necesarias debido al contexto de riesgos existentes, como es el caso de la norma PCI DSS.
Estándares de la primera norma
Desde la popularización de las tarjetas de crédito como método de pago, los fraudes a los bancos han sido un problema mayúsculo; dicho reto se intensificó con la llegada de la digitalización de la economía, que abrió la puerta para que los ciberdelincuentes realizaran cargos ilegítimos. La falta de protocolos de seguridad en los negocios fue uno de los catalizadores de este fenómeno.
Esto llevó a que a principios de la década pasada, las compañías emisoras de las tarjetas de crédito (Visa, MasterCard, American Express, Discover y JCB) desarrollaran sus propios estándares para el manejo de tarjetas de crédito en los puntos de venta. Tras varios años de operación de estos estándares por separado, en 2004 desarrollaron en conjunto la primera versión de la norma Payment Card Industry Data Security Standard (PCI DSS).
La norma PCI DSS es un estándar requerido por dichas emisoras para asegurar que todos los comercios y proveedores de servicios que operen con tarjeta de crédito y débito, cuenten con protocolos de seguridad que protejan la información confidencial de sus clientes y eviten cargos fraudulentos.
El estándar es obligatorio, por lo que ninguna empresa que carezca de la certificación podrá aceptar tarjetas de crédito.
Para México la fecha límite para obtener dicha certificación ha sido aplazada en un par de ocasiones, sin embargo, es necesario que las empresas comiencen el proceso de auditoría, ya que podría tomarle entre seis y 12 meses a una compañía grande, o entre uno y tres meses a un negocio pequeño o mediano, siempre que el proceso lo lleve a cabo un certificador eficiente. Para obtener la certificación, las firmas con grandes volúmenes de facturación, necesitan realizar auditorías externas para asegurar el cumplimiento de la norma.
En el caso de las Pymes, no es necesario realizar este procedimiento, sino que los dueños o encargados de las áreas de tecnología deben llenar un cuestionario de autoevaluación, cuyos resultados arrojan un diagnóstico sobre el estatus de vulnerabilidad digital del negocio en materia de seguridad, focalizado al ambiente y protección completa del dato de la tarjeta; esta autoevaluación mide desde políticas y procedimientos internos y configuración adecuada de tecnologías, hasta las personas que son el eslabón primordial que interactúan con dicha información.
El problema para las pequeñas y medianas empresas es que la certificación es difícil si no cuentas con un experto interno, ya que las preguntas son muy técnicas, a veces confusas, y no tienen traducción al español. Para estos casos, lo mejor es buscar un agente certificador por fuera que les ayude con este proceso.
Protección de datos
Según la Comisión Nacional para la Protección y Defensa de los usuarios de Servicios Financieros (CONDUSEF), en México hay 4.1 millones de microempresas que aportan el 41.8% del empleo total. En el caso de las pequeñas empresas suman 174 mil 800, y representan 15% de empleabilidad. Finalmente, las empresas medianas llegan a 34 mil 960, y en ellas labora el 15.9% de los empleados alrededor del país.
Según datos de la misma CONDUSEF, durante el tercer trimestre de 2017, los fraudes cibernéticos crecieron 102% respecto del mismo periodo de 2016. El monto de dichos fraudes ascendió a $4,331 millones de pesos; y aunque 92 de cada 100 casos se resolvieron a favor del usuario, la industria financiera está apostándole a la prevención con medidas como la certificación PCI DSS.
Por: Ing. Omar Cruz
Representante de Consultoría en medios de pago en América Latina de S21sec
