PCI endurece las reglas y el comercio electrónico necesita un mayor nivel de seguridad

La seguridad digital acaba de adquirir nuevas reglas y las empresas que procesan datos de tarjetas deben adaptarse. Con la llegada de la versión 4.0 del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), establecido por el Consejo de Estándares de Seguridad de PCI (PCI SSC), los cambios son importantes y tienen un impacto directo en la protección de los datos de los clientes y en cómo se almacenan, procesan y transmiten los datos de pago. Pero, después de todo, ¿qué cambia realmente?

El principal cambio es la necesidad de un nivel aún mayor de seguridad digital. Las empresas tendrán que invertir en tecnologías avanzadas como cifrado robusto y autenticación multifactor. Este método requiere al menos dos factores de verificación para confirmar la identidad del usuario antes de otorgar acceso a sistemas, aplicaciones o transacciones, lo que dificulta que los atacantes pirateen incluso si los delincuentes tienen acceso a contraseñas o datos personales.

Entre los factores de autenticación utilizados se encuentran:

• Algo que el usuario sabe: contraseñas, PIN o respuestas a preguntas de seguridad.
• Algo que tiene el usuario: tokens físicos, SMS con códigos de verificación, aplicaciones de autenticación (como Google Authenticator) o certificados digitales.
• Algo es el usuario: digital, biometría facial, reconocimiento de voz o iris.

“Estas capas de protección dificultan mucho el acceso no autorizado y garantizan una mayor seguridad para los datos ENVIADOS, explica.

“En definitiva, es necesario reforzar la protección de los datos de los clientes implementando medidas adicionales para evitar el acceso no autorizado”, explica Wagner Elias, director general de Conviso, desarrollador de soluciones para la seguridad de las aplicaciones. “Ya no se trata de “se adaptar cuando sea necesario”, sino de actuar de forma preventiva”, señala.

Según las nuevas normas, la implementación se desarrolla en dos fases: la primera, con 13 nuevos requisitos, tenía como fecha límite marzo de 2024. Ya la segunda fase, más exigente, incluye 51 requisitos adicionales y debería cumplirse antes del 31 de marzo de 2025, es decir, quienes no se prepararon pueden enfrentar severas sanciones.

Para adaptarse a los nuevos requisitos, algunas de las principales acciones incluyen: implementar cortafuegos sistemas de protección robustos; utilizar cifrado en la transmisión y almacenamiento de datos; monitorear y rastrear continuamente el acceso y la actividad sospechosos; probar constantemente procesos y sistemas para identificar vulnerabilidades; crear y mantener una estricta política de seguridad de la información.

Wagner señala que en la práctica, esto significa que cualquier empresa que maneje pagos con tarjeta deberá revisar toda su estructura de seguridad digital. Esto implica actualizar los sistemas, hacer cumplir políticas internas y capacitar a los equipos para minimizar el riesgo. “Por ejemplo, un comercio electrónico deberá garantizar que los datos de los clientes estén cifrados de extremo a extremo y que sólo los usuarios autorizados tengan acceso a información confidencial. Una red minorista ya tendrá que implementar mecanismos para monitorear continuamente posibles intentos de fraude y filtraciones de datos”, ejemplifica.

Los bancos y las fintechs también necesitarán fortalecer sus mecanismos de autenticación, ampliando el uso de tecnologías como la biometría y la autenticación multifactor.“O pretende hacer que las transacciones sean más seguras sin comprometer la experiencia del cliente. Esto requiere un equilibrio entre protección y usabilidad, algo que el sector financiero ya ha ido mejorando en los últimos años”, señala.

Pero ¿por qué es tan importante este cambio? No es exagerado decir que el fraude digital es cada vez más sofisticado. Las violaciones de datos pueden provocar pérdidas millonarias y daños irreparables a la confianza de los clientes. 

Wagner Elias advierte: “muchas empresas siguen adoptando una postura reactiva, preocupándose sólo por la seguridad después de que ocurre un ataque. Este comportamiento es preocupante, porque los fallos de seguridad pueden provocar importantes pérdidas financieras y daños irreparables a la reputación de la organización, que podrían evitarse con medidas preventivas”.

También señala que para evitar estos riesgos, el gran diferencial es adoptar prácticas de Seguridad de Aplicaciones (Seguridad de Aplicaciones) desde el inicio del desarrollo de la nueva aplicación, asegurando que cada fase del ciclo de desarrollo del software ya cuente con medidas de protección. Esto asegura la inserción de medidas de protección en todas las fases del ciclo de vida del software, siendo mucho más económico que remediar el daño después de un” incidente.

Se espera que el mercado de seguridad de aplicaciones, que moverá 11.620 millones de US$ en 2024, alcance los 25.920 millones de US$ en 2029, según Mordor Intelligence.

Wagner explica que soluciones como DevOps permiten desarrollar cada línea de código con prácticas de protección, así como servicios como pruebas de penetración y mitigación de vulnerabilidades.“El análisis de rendimiento de la seguridad y la automatización de pruebas permite a las empresas cumplir con los estándares sin comprometer” la eficiencia.

Además, la consultoría especializada es importante en este proceso, ayudando a las empresas a adaptarse a los nuevos requisitos de PCI DSS 4.0.“Entre los servicios más buscados se encuentran las pruebas de penetración, el equipo rojo y las evaluaciones de seguridad de terceros, que ayudan a identificar y corregir vulnerabilidades. antes de que puedan ser explotados por” delincuentes, afirma.

Dado que los fraudes digitales se vuelven más sofisticados, ignorar la seguridad de los datos ya no es una opción. “Las empresas que invierten en medidas preventivas garantizan la protección de sus clientes y fortalecen su posición en el mercado. La aplicación de las nuevas directrices es, en primer lugar, un paso esencial para construir un entorno de pago más seguro y fiable”, concluye.