El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard – PCI DSS) define controles para la protección de datos del titular de la tarjeta y datos confidenciales de autenticación durante su procesamiento, almacenamiento y transmisión.

Es relevante saber, que antes de la publicación de la primera versión del estándar PCI DSS, cada una de las marcas de tarjetas de pago tenían un programa propio de seguridad para la protección de los datos del titular de tarjeta. “En el caso de American Express, Data Security Operating Policy (DSOP); para Discover, Discover Information Security Compliance (DISC); en JCB International, Data Security Program (DSP); MasterCard, Site Data Protection (SDP);  Visa USA, Cardholder Information Security Program (CISP); y para Visa International,  Account Information Security Program (AIS)”, detalla Rafael Chagas, co fundador de Circle.

Además, cada uno de los programas anteriormente descritos, definía los controles de seguridad a implementar, y las entidades que debían cumplir con ellos.  “Sin embargo, si una entidad almacenaba, procesaba y/o transmitía datos de tarjetas pertenecientes a cualquiera de las marcas, tenía que cumplir con su programa de seguridad, lo que provocaba duplicidades, incongruencias y solapamientos en la implementación de controles”, añade el ejecutivo.

Indispensable para operar

Para Rafael Chagas es fundamental aclarar, que el uso del PCI es indispensable para operar pues su gran importancia es que: “propicia la generación de un ambiente de seguridad en cuanto a datos sensibles y será un incentivo que posicionará a la empresa como profesional, responsable, seria y confiable”.

En ese sentido, la misión del PCI Security Standards Council es mejorar la seguridad de los datos de las cuentas de pago globales mediante el desarrollo de estándares y servicios de apoyo que impulsan la educación, la consciencia y la implementación efectiva por parte de las partes interesadas.

Cumplimiento obligatorio


El cumplimiento del estándar PCI DSS es obligatorio,  aunque la aplicabilidad de sus requerimientos varíen de acuerdo a cada entidad.

El PCI establece las bases en términos de seguridad para proteger las transacciones con datos de tarjetas de pago y su incumplimiento implica:

1.- La limitación por parte de las marcas de tarjetas de pago, bancos adquirientes o pasarelas de pago para procesar transacciones provenientes desde la entidad que no cumple con el estándar.

2.- Si ocurre un incidente de seguridad que afecte datos de tarjetas, la entidad que no cumple con el estándar debe asumir la totalidad de los costos en: demandas e indemnizaciones, fraudes con transacciones realizadas con las tarjetas afectadas, renovación de las tarjetas de pago, multas por parte de las marcas de pago, en función de la cantidad de datos de tarjetas de pago involucrados; multas legales por afectación de datos de carácter personal; costos de la investigación forense, a cargo de un profesional; costos de la implementación de los controles de PCI DSS post-incidente; y costos derivados de la pérdida de imagen de cara al público.