Una actualización clave al estándar PCI ha sido emitida por el Payment Card Industry Security Standards Council (PCI SSC). El consejo lanzó así formalmente los requerimientos de cifrado de punta a punta (P2PE) y procedimientos de evaluación versión 2.0, que constituyen una revisión vital al estándar.
La actualización tiene como objetivo facilitar la implementación de soluciones P2PE, que hacen menos valiosa a la información de pago de tarjetas de crédito que pudieran obtener los criminales. "Una solución de cifrado de punta a punta (P2PE) protege criptográficamente los datos de cuentas desde el punto en que un comerciante acepta la tarjeta hasta el punto seguro de descifrado", dijo el consejo, según DarkMatters.Y continuaron afirmando: "Usando P2PE, los datos de cuentas (información del dueño de la tarjeta y de autenticación) son ilegibles hasta que llegan al entorno seguro de descifrado, lo que los hace menos valiosos si son robados en una brecha".
El PCI Security Standards Counciles un órgano que gobierna a la industria fundado por American Express, Discover Financial Services, JCB International, MasterCard y Visa en 2006. Fue el creador del estándar PCI-DSS (Payment Card Industry – Data Security Standard), que define los requerimientos mínimos de seguridad de los datos que debe cumplir cualquier organización que transmita, procese o almacene información de tarjetas de pago. Se entiende por información de tarjeta el número PAN completo (es el número de 16 dígitos que se encuentra al frente de la tarjeta), el nombre del tarjetahabiente, la fecha de expiración y el código de servicio (código de 3 o 4 dígitos que se encuentra en la banda magnética).
"El malware que captura y roba datos en el punto de venta (PoS) continúa amenazando la capacidad de las compañías para proteger la información de pago de los consumidores. Mientras estos ataques se vuelven más sofisticados, se torna crítico encontrar formas de devaluar los datos de tarjetas de pago", dijo Troy Leach, CTO del consejo, a Finextra.
Una medida en ese sentido fue abandonar definitivamente el soporte para SSL y forzar la migración a TLS en la nueva versión del estándar PCI. Sin embargo, muchas empresas que venden a través de Internet no terminan de entender la importancia de contar con un protocolo de comunicación entre el cliente y su entidad de pagos online - una encuesta reciente encontró que el 80% de los comerciantes globales, incluyendo minoristas, instituciones financieras y empresas de hotelería no había pasado las pruebas provisionales para demostrar que cumplen con los estándares de seguridad de datos de la tarjeta.