Las principales firmas de tarjetas de pago exigen unos mínimos de seguridad al comercio electrónico

Por Mercè Molist (*)
colaboradores@videosoft.net.uy

El comercio electrónico está viviendo una carrera que ríase usted de la adaptación al año 2000. Bancos, tiendas y pasarelas que almacenan datos bancarios deberán cumplir antes de 2008 un nuevo estándar de seguridad, dictado por las principales firmas de tarjetas de pago. En caso contrario, no podrán usar estas plataformas para comercializar sus productos.

La razón de esta medida radica en una práctica común pero peligrosa del comercio electrónico, explica Simon Perry, vicepresidente de Gestión de Seguridad de Computer Associates: "Cuando compras con tarjeta en Internet, la tienda guarda tus datos para que la próxima vez no tenga que pedírtelos y sea más fácil para ti. El problema es que así se crean bases de datos con información de cientos de miles de tarjetas, muy apetecibles para los delincuentes".

Los robos de estas bases de datos han sido una práctica habitual en los últimos años y un secreto a voces que las empresas se han negado a publicitar. Esto cambió en 2005, cuando el estado norteamericano de California aprobó la "Ley de Información de Brechas de Seguridad", que obligaba a notificar a los clientes los robos de información personal.

Con la ley, aumentaron exponencialmente las noticias sobre compromisos de bases de datos y también la desconfianza de los consumidores, explica Simon Perry: "A la gente le preocupa cada vez más la seguridad a la hora de comprar en Internet y esto se ha convertido en un importante problema empresarial que justo ahora las compañías empiezan a reconocer".

Diversas encuestas realizadas por Computer Associates confirman esta sensación, también en Europa, explica Perry: "Las decisiones de compra electrónica de los consumidores más educados y que gastan más se basan sobre todo en la confianza en que el sitio sabrá guardar sus datos bancarios, convirtiéndose así en uno de los principales motivos de compra".

Conocedoras de esta situación, las principales entidades de tarjetas de pago, American Express, Visa, MasterCard, Discover Financial Services y JCB, han creado el Estándar de Seguridad de los Datos de la Industria de Pago con Tarjeta (PCI DSS son sus siglas en inglés), de obligado cumplimiento a partir de 2008.

El estándar establece unas normas básicas para este tipo de bases de datos: además de las medidas habituales como usar antivirus, cortafuegos e instalar parches de seguridad, los datos deben ser cifrados y los accesos a la máquina, controlados y grabados, de forma que todos los que la usen estén claramente identificados.

Las penalizaciones por no homologarse van desde multas hasta la retirada del permiso para usar estas tarjetas de pago. Muchas empresas han esperado hasta el último momento, lo que ha provocado que desde las grandes consultoras internacionales hasta las pequeñas estén trabajando a destajo en ponerlas a punto para el nuevo estándar.

Aunque la medida no afecta sólo al comercio por Internet sino a cualquier compañía que almacene datos bancarios en formato electrónico, está especialmente dirigida a aumentar la seguridad del primero. Algo muy necesario, según Perry: "De las muchas empresas que he auditado, todas tenían algo que arreglar, a pesar de que las medidas que requiere el estándar son de seguridad muy básica".

Pero, para este ejecutivo, "lo que pone los pelos de punta es que en Europa no haya una ley que obligue a las empresas a informar de estos robos. Aunque se ha pedido y discutido a nivel de Comisión Europea, sigue sin haber nada porque a las compañías les preocupa la pérdida de reputación. Mi opinión es: dejen de discutir y háganlo".


Relacionados:

PCI Security Standards Council
https://www.pcisecuritystandards.org

Computer Associates
CA - Spain - CA


(*) Copyleft 2007 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.








(c) Video Soft - Video Soft
(c) VSAntivirus - VSAntivirus