PCI DSS (Payment Card Industry Data Security Standard) es un estándar destinada a aquellas empresas que comercializan y realizan transacciones con tarjetas de crédito o débito. Anteriormente, realizamos un análisis sobre un informe anual de PCI y en este caso hablaremos sobre parte de la información el nuevo newsletter publicado en julio de 2013 que nos brinda información sobre la situación en Latinoamérica con respecta a esta temática.
El nuevo newsletter informa sobre diversos tópicos vinculados al estándar PCI. La información contenida en este documento posee una gran relevancia, ya que se entrevista a diversas personas del entorno corporativo donde alegan sus preocupaciones e intereses. Asimismo, en esta edición, se publicó un gráfico donde puede visualizarse cuál es la situación global a nivel expertise con respecto a este estándar:
Analizando los datos establecidos en el mapa, se puede observar que Latinoamérica se encuentra muy por detrás en cuanto al resto de las regiones del mundo en cuanto a “la demanda global para adquirir experiencia en PCI”. Esto se justifica interpretando que solo existen 11 PO (Participating organizations) Companies, es decir, compañías que participan activamente con la organización PCI con la finalidad de poder ayudar y establecer este estándar a lo largo de las diferentes industrias y regiones.
ISA companies (Internal Security Assessors) son aquellas empresas y organizaciones que han sido calificadas por el council. Específicamente, esto consiste en profesionales de auditorías internas de aquellas compañías que sean sponsor y que están calificadas para mejorar el entendimiento de sus organizaciones con respecto al PCI DSS. En este caso, el número de compañías ISA alcanza apenas 6 compañías, lo que sigue siendo un número bajo para nuestra región.
Finalmente, existen solo 19 individuos PCIP (Payment Card Industry Professional) en Latinoamérica. Estos individuos son aquellos que demostraron un determinada experiencia en cuanto al entendimiento de los estándares PCI.
Claramente, en contraste con las demás regiones del mundo, estamos frente a un retraso a nivel de madurez en lo que respecta a este estándar. Se debe tomar conciencia en este sentido, ya que lo que esta certificación propone son las buenas prácticas en lo que respecta al manejo de información sensible en transacciones financieras. Aquellas compañías que procesan información de datos de tarjetas deberían cumplir y validar de forma periódica su cumplimiento con respecto al estándar PCI, considerando que este rubro es muy propenso a la aparición de fraudes.
Lo importante es comenzar a tomar las medidas necesarias y tener en cuenta que no es un simple estándar, sino que asegura las mejores prácticas a la hora de manipular información de alta criticidad. Todavía existe un largo camino por recorrer en este sentido, y se debe considerar la seguridad como un proceso. De esta manera, la seguridad debe ser gestionada y como en ESET Latinoamérica nos preocupamos sobre la gestión de la seguridad, contamos con ESET Security Services, donde ofrecemos diferentes servicios de seguridad para que las empresas den el primer paso en la gestión de la seguridad de la información.
Fernando Catoira
Analista de Seguridad