PCI (Payment Card Industry) lleva ya varios años en práctica desde la versión 1.0 liberada en diciembre de 2004, múltiples organizaciones han obtenido su certificado de cumplimiento y operan gracias a ello. Sin embargo, parece ser que progresivamente va decayendo el nivel de confianza que debería suponer el cumplimiento con el estándar. Los incidentes de seguridad en donde se involucra la sustracción de información confidencial sobre tarjetas bancarias en empresas que cumplen con PCI no han sucedido frecuentemente, pero se han presentado aún después de ajustes al estándar y, a pesar de darse a conocer casos como el de Heartland en 2009 (una empresa procesadora de pagos con tarjeta que sufrió una fuga de información relacionada con cerca de 130 millones de tarjetas), que le costó a la mencionada compañía 140 millones de dólares[1]; o el de TJX,  compañía de ventas al menudeo que experimentó el robo de datos de entre 40 y 100 millones de tarjetas en 2005, con un costo estimado de 250 millones de dólares[2].

Recientemente se suscitó el caso de Global Payments, una de las más grandes compañías que procesan pagos con tarjetas bancarias. Se calcula que se comprometieron los datos de alrededor de 1.5 millones de usuarios[3] debido un incidente de seguridad que derivó en la infiltración de personas no autorizadas en los sistemas de la empresa. Como resultado de este incidente, a Global Payments lo revocaron como proveedor de servicio en cumplimiento de PCI DSS ¿Acaso Global Payments no escarmentó a partir de los escándalos de años anteriores?

Tiendo a pensar que aquí pasa igual que en otros ámbitos y que los detalles, huecos y grietas se encuentran en la implementación y verificación del estándar. PCI DSS no es intrínsecamente malo o deficiente, pero al parecer las compañías sujetas a esta normativa con frecuencia están mal aconsejadas al concretar en controles el espíritu del estándar, y esto se agrava ante lo relajadas que pueden ser las verificaciones de cumplimiento. Recordemos que para pequeños establecimientos inclusive es válido como verificación responder un cuestionario de autoanálisis o QSA[4] y un escaneo de red trimestral realizado por un ejecutor autorizado, no más.

Es necesario tomar en cuenta y entender que PCI DSS no es la panacea de la seguridad y tampoco pretende serlo. Así como las leyes no suprimen el crimen por sí mismas, no es posible esperar que este estándar acabe con el hurto de datos bancarios, sin embargo es un punto de referencia que al menos permite desarrollar un programa de seguridad de información. De hecho es un muy buen comienzo para empresas que no tienen un programa formal aún, no obstante, todas estas situaciones e incidentes deben considerarse muy seriamente para desarrollar la evolución eficaz de PCI DSS.

[email protected]