Por Héctor Guillermo Martñinez, Presidente de GM Sectec
Este año el mejor centro comercial para realizar las compras de Navidad será Internet, y aunque los sistemas de pagos digitales han hecho que el proceso de compra sea más seguro, todavía existe un gran riesgo de fraude del que debemos cuidarnos.
La llegada de la pandemia cambió la vida de las personas en el mundo entero. Las rutinas y actividades regulares, incluyendo hacer compras en supermercados y tiendas por departamentos entre otras, ahora se realizan de manera digital. Durante los primeros meses de la pandemia, en América Latina hubo un aumento de 13 millones de usuarios realizando actividades de comercio electrónico, lo que significó que dos de cada diez usuarios utilizaron aplicaciones de compra por primera vez.
El pago electrónico, en sus distintas modalidades, ha tomado gran fuerza, por lo que es primodial establecer controles de seguridad y cumplir con normas internaciones de seguridad tales como PCI DSS. Toda organización que procese, almacene o transmita datos de tarjetahabientes esta obligada a cumplir con PCI DSS, cuyo objetivo principal es asegurar dichos datos y evitar fraudes que involucran tarjetas de pago débito y crédito. PCI DSS ha sido una manera efectiva de robustecer la seguridad y mejorar la ciber postura siguiendo unas guías y metodologías claras y manejables.
Son cada vez más las empresas y organizaciones que se han unido al cumplimiento de estos estándares de seguridad, con el objetivo de resguardar a sus negocios, cuidar a sus clientes y garantizar que sus datos estén seguros.
Para que las empresas puedan brindar una experiencia de compra confiable y segura en estas fiestas decembrinas, les compartimos algunas recomendaciones para asegurar políticas integradas para la protección de los datos que no solo cumplan con las normas PCI DSS, sino que aseguren la reducción de riesgos de los negocios a los ataques dirigidos a la integridad de los datos:
- Desarrollar y mantener un programa de cumplimiento sostenible para incluir la cultura de protección de los datos de los clientes en todas las instancias de la organización. La seguridad continua de los datos del titular de la tarjeta debe ser el objetivo principal de todas las actividades de la relación comercial.
- Desarrollar programas, políticas y procedimientos de cumplimiento de PCI DSS que incluya personas, procesos y tecnología para ayudar a impulsar un comportamiento adecuado y mantener los procesos operativos y empresariales.
- Definir un programa de métricas de rendimiento que pueda proporcionar datos útiles para dirigir la asignación de recursos y así minimizar la ocurrencia de riesgos y medir las consecuencias comerciales de los eventos de seguridad.
- Asignar responsabilidades a una persona específica y calificada de nivel de gestión para el cumplimiento continuo. Las actividades pueden incluir la coordinación centralizada de recursos, monitoreo, proyectos y costos asociados con el cumplimiento de PCI DSS.
- Enfatizar la seguridad y la gestión de riesgos para alcanzar y mantener el cumplimiento. El enfoque debe ser construir una cultura de seguridad y proteger los activos de información y la infraestructura de TI de una organización, permitiendo, como consecuencia, que se logre el cumplimiento.
- Controlar y monitorear continuamente. Las organizaciones deben desarrollar estrategias de protección que se alineen con sus objetivos comerciales y de seguridad para monitorear, probar y documentar continuamente la implementación, la eficacia y la eficiencia de los controles a través de la validación de los controles BAU (Business As Usual).
- Activar mecanismos de detección y respuesta a fallas. Las organizaciones deben tener procesos para reconocer y responder a las fallas de control de seguridad rápidamente. Como mínimo, los procesos de respuesta deben incluir: minimizar el impacto del incidente, restaurar los controles, realizar el análisis y reparar la causa, implementar estándares de fortalecimiento y mejorar el monitoreo.
- Implementar un proceso de concientización de seguridad formal que incluya contenidos sobre los tipos de ataques basados en ingeniería social, y la manipulación de comportamientos que terminan por vulnerar la protección de los datos.
- Supervisar a los proveedores de servicios. A menudo, las organizaciones confían en proveedores de servicios de terceros para implementar y mantener los controles de seguridad necesarios para cumplir con las normas PCI DSS. Las organizaciones deben implementar procesos para monitorear el estado de cumplimiento de sus proveedores de servicios en esta área.
- Implementar medidas de seguridad en el procesamiento de pago como certificados digitales seguros (https), ofrecer formas de pagos seguros (3DS), no almacenar datos sensibles, entre otros.