La seguridad digital acaba de recibir nuevas reglas y las empresas que procesan datos de tarjetas necesitan adaptarse. Con la llegada de la versión 4.0 del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), establecido por el Consejo de Normas de Seguridad PCI (PCI SSC), los cambios son importantes y afectan directamente la protección de los datos de los clientes y cómo se almacenan, procesan y transmiten los datos de pago. Pero, al fin y al cabo, ¿qué es lo que realmente cambia?
El cambio principal es la necesidad de un nivel aún más alto de seguridad digital. Las empresas tendrán que invertir en tecnologías avanzadas, como criptografía robusta y autenticación multifactorial. Este método requiere al menos dos factores de verificación para confirmar la identidad del usuario antes de conceder acceso a sistemas, aplicaciones o transacciones, dificultando las intrusiones, incluso si los delincuentes tienen acceso a contraseñas o datos personales.
Entre los factores de autenticación utilizados están
- Algo que el usuario sabecontraseñas, PIN o respuestas a preguntas de seguridad.
- Algo que el usuario posee: tokens físicos, SMS con códigos de verificación, aplicaciones autenticadoras (como Google Authenticator) o certificados digitales.
- Algo que el usuario esbiometría digital, facial, reconocimiento de voz o iris.
"Estas capas de protección hacen que el acceso no autorizado sea mucho más difícil y garantizan una mayor seguridad para datos sensibles", explica.
En resumen, es necesario reforzar la protección de los datos de los clientes, implementando medidas adicionales para prevenir accesos no autorizados, explica Wagner Elias, CEO de Conviso, desarrolladora de soluciones para la seguridad de aplicaciones. No es ya una cuestión de "adaptarse cuando sea necesario", sino de actuar preventivamente, destaca.
De acuerdo con las nuevas reglas, la implementación se realiza en dos fases: la primera, con 13 nuevos requisitos, tuvo como fecha límite marzo de 2024. La segunda fase, más exigente, incluye 51 requisitos adicionales y debería cumplirse hasta el 31 de marzo de 2025. Es decir, quien no se prepare puede enfrentar sanciones severas.
Para adaptarse a las nuevas exigencias, algunas de las acciones principales incluyen: implementarcortafuegosy sistemas de protección robustos; utilizar criptografía en la transmisión y almacenamiento de datos; monitorear y rastrear continuamente accesos y actividades sospechosas; probar procesos y sistemas constantemente para identificar vulnerabilidades; crear y mantener una política rigurosa de seguridad de la información.
Wagner destaca que, en la práctica, esto significa que cualquier empresa que maneje pagos con tarjeta deberá revisar toda su estructura de seguridad digital. Esto implica actualizar sistemas, reforzar políticas internas y capacitar a los equipos para minimizar riesgos. Por ejemplo, un comercio electrónico deberá garantizar que los datos de los clientes estén encriptados de extremo a extremo y que solo los usuarios autorizados tengan acceso a la información sensible. Ya una cadena minorista tendrá que implementar mecanismos para monitorear continuamente posibles intentos de fraude y filtraciones de datos, ejemplifica.
Los bancos y las fintechs también deberán reforzar sus mecanismos de autenticación, ampliando el uso de tecnologías como biometría y autenticación multifactor. “El objetivo es hacer que las transacciones sean más seguras sin comprometer la experiencia del cliente. Esto requiere un equilibrio entre protección y usabilidad, algo que el sector financiero ya ha estado perfeccionando en los últimos años”, destaca.
Pero, ¿por qué este cambio es tan importante? No es exagero decir que las fraudes digitales son cada vez más sofisticadas. Las filtraciones de datos pueden resultar en pérdidas millonarias y daños irreparables a la confianza de los clientes.
Wagner Elias advierte: "Muchas empresas todavía adoptan una postura reactiva, preocupándose solo con la seguridad después de que ocurre un ataque. Este comportamiento es preocupante, ya que las fallas de seguridad pueden causar pérdidas financieras significativas y daños irreparables a la reputación de la organización, que podrían haberse evitado con medidas preventivas".
É ainda destaca que para evitar esses riscos, o grande diferencial é adotar práticas de Segurança de Aplicações desde o início do desenvolvimento do novo aplicativo, garantindo que cada fase do ciclo de desenvolvimento do software já tenha medidas de proteção. Esto garantiza la incorporación de medidas de protección en todas las fases del ciclo de vida del software, siendo mucho más económico que remediar los daños después de un incidente.
Vale recordar que esta es una tendencia que está creciendo en todo el mundo. El mercado de seguridad de aplicaciones, que mueve 11,62 mil millones de dólares en 2024, se espera que alcance los 25,92 mil millones de dólares para 2029, según Mordor Intelligence.
Wagner explica que soluciones como DevOps permiten que cada línea de código sea desarrollada con prácticas de protección, además de servicios como pruebas de intrusión y mitigación de vulnerabilidades. Realizar análisis continuos de seguridad y automatización de pruebas permite que las empresas cumplan con las normas sin comprometer la eficiencia, destaca.
Además, las consultorías especializadas son importantes en este proceso, ayudando a las empresas a adaptarse a las nuevas exigencias del PCI DSS 4.0. "Entre los servicios más buscados están las Pruebas de Penetración, el Equipo Rojo y las evaluaciones de seguridad de terceros, que ayudan a identificar y corregir vulnerabilidades antes de que puedan ser explotadas por delincuentes", cuenta.
Con fraudes digitales cada vez más sofisticadas, ignorar la seguridad de los datos ya no es una opción. Las empresas que invierten en medidas preventivas garantizan la protección de sus clientes y fortalecen su posición en el mercado. Implementar las nuevas directrices es, ante todo, un paso esencial para construir un entorno de pagos más seguro y confiable», concluye.
