INTRODUCCION

PCI no es como tal una regulación. El término PCI se refiere al pago dentro de una industria determinada a través del uso de tarjetas crédito o débito (Payment Card Industry). Normalmente cuando nos referimos a las siglas PCI, queremos señalar el PCI Data Security Standard (DSS), actualmente en la versión 3.21. Pero, nos referiremos por brevedad en este artículo a la sigla PCI con el fin de identificar esta regulación de la industria la cual será verificadas a través de la realización de auditorías PCI de seguridad.

La norma PCI DSS (Payment Card Industry Data Security Standard) fue desarrollada por un conjunto de compañías de tarjetas de débito y crédito en el año 2006 entre las que estaban: America Express, Discover, JCB, Mastercard y VISA. De esta unión se creó el Payment Card Industry Security Standards Council (PCI-SSC), el cual es responsable de la creación, desarrollo, y difusión de la norma PCI DSS.

Las compañías autorizadas por el Concilio (PCI SSC) para realizar la validación de cumplimiento de la norma PCI DSS se conocen como QSA (Qualified Security Assessor), los cuales deben cumplir con una serie de requisitos como empresa y sus ingenieros deben ser entrenados directamente por esta asociación. La norma PCI es una de las normas más exigentes a nivel mundial en lo relacionado con la protección de la información sensible debido al énfasis que pone en los requerimientos de tipo tecnológicos y la rigurosidad que exige en el proceso de evaluación para otorgar la certificación de cumplimiento. La evaluación, para obtener la certificación, exige que el 100% de los requerimientos y sub-requerimientos (aproximadamente son 350) estén implementados correctamente.

PCI DSS procura que las organizaciones que procesan, almacenan y/o transmiten datos de tarjetahabientes protejan esta información con el fin de evitar fugas que involucren divulgación de información sensible. Este tipo de fugas podría afectar todo el ecosistema de tarjetas de pago incluyendo clientes, comercios e instituciones financieras. Estas entidades perderían credibilidad como consecuencias de fugas de información y quedarían expuestas a numerosas demandas económicas y en algunos casos su supervivencia en el tiempo quedaría seriamente comprometida.

Lograr el cumplimiento de PCI DSS es fundamental para el éxito a largo plazo de las organizaciones que procesan información sensible o realizan pagos con tarjetas. El cumplimiento involucra la identificación continua de amenazas y vulnerabilidades que podrían potencialmente afectar a dichas organizaciones. La mayoría de ellas nunca se recuperan totalmente de una infracción o fuga de sus datos ya que la pérdida o el impacto es mayor que los datos en sí mismos. Seguir la norma PCI es una gran oportunidad para realizar más negocios de manera segura. Por medio de esta norma se logra asegurar la salud y confianza en las transacciones de pago para cientos de millones de personas en el mundo que utilizan medios electrónicos para sus transacciones.

Leave a comment