La próxima ola de PCI DSS
Se están actualizando nuevos estándares de calidad para aumentar la seguridad de las transacciones de pago con tarjeta.
Cualquiera que haya tenido la experiencia de tener una tarjeta de crédito clonada sabe el dolor de cabeza que es. En Brasil, 3.6 millones de los 52 millones de usuarios de tarjetas experimentan este dolor al año, según una encuesta de 2019 realizada por el Servicio de Protección de Crédito (SPC). Es un número expresivo que, a pesar de estar relacionado con el aumento del comercio electrónico y la educación de las personas cuando realizan sus compras de manera segura, también alienta a los profesionales que se ocupan de la seguridad de los datos a mejorar cada vez más el sector.
En este movimiento frenético de cambios y búsqueda de mejoras, los ojos se dirigen actualmente a la nueva versión del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), que debería lanzar en 2020 la versión 4.0.
PCI DSS fue creado en 2004 por Visa, Mastercard, American Express, JBC y Discover para crear un nivel adicional de protección para los emisores de tarjetas, asegurando que los comerciantes cumplan con los niveles mínimos de seguridad al almacenar, procesar y transmitir datos de titulares de tarjetas tarjeta y resolver problemas de interoperabilidad existentes.
Los comerciantes que no cumplan con este estándar, además de ofrecer un mayor riesgo para los clientes, pueden terminar siendo desacreditados por las marcas, causando una disminución en las ventas, ya que la cantidad de personas que realizan pagos con tarjeta solo ha aumentado.
Cuando apareció el PCI DSS, se estableció un ciclo de actualización de tres años. Este ciclo tuvo lugar en las primeras tres versiones, hasta que se verificó un nivel de madurez del estándar que era lo suficientemente bueno como para mantenerlo. La versión 3 del PCI DSS ha estado en funcionamiento durante seis años, por lo que se esperan grandes cambios
En esta nueva versión, lo que PCI solía ver como control compensatorio, ahora forma parte de los procedimientos de prueba de forma opcional, es decir, la organización puede optar por no cumplir con el requisito descrito por PCI DSS sin necesidad de una justificación técnica. o justificación comercial documentada para obtener la aprobación de la implementación de este control compensatorio.
Entre las ventajas de este nuevo modelo está la facilidad para las empresas de seguridad que realizan auditorías. Hace que el proceso de evaluación sea más intuitivo, más simple para completar los informes, más fácil de documentar y visualizar los resultados, lo cual es positivo especialmente para que el cliente entienda lo que se puso allí.
El PCI SSC (Consejo de Normas de Seguridad) ha demostrado que no quiere comprometerse con los plazos en la publicación de 4.0 para no afectar la calidad de la norma. Según el cronograma publicado, la suposición es que el nuevo estándar se lanzará en la segunda mitad de 2020 y entrará en vigencia entre mediados y fines de la primera mitad de 2021.
Mientras tanto, la comunidad del Asesor de Seguridad Calificado (QSA) ha colaborado para construir los mejores requisitos. Por lo tanto, la recomendación para todos los que son evaluados en relación con el PCI DSS es participar activamente en las evaluaciones. De esta manera, construiremos caminos más seguros para el mercado de Pago con Tarjetas.
Autores: Paulo Poi, director de GRC y Eduardo Justo, gerente de GRC, ambos en Cipher
0 Comments