“El tema de la seguridad en las tarjetas de pago está mejorando a nivel mundial”

Fecha: Jue, 09/12/2010 - 16:18

Entrevista con Bob Russo, director general del PCI Security Standards Council
“El tema de la seguridad en las tarjetas de pago está mejorando a nivel mundial” Bob Russo, director general del PCI Security Standards Council

El PCI Security Standards Council es un foro mundial abierto, establecido en 2006, que se encarga de la formulación, gestión, educación y conocimiento de las normas de seguridad de la industria de las tarjetas de pago (PCI), entre ellas: la Norma de Seguridad de Datos (DSS), la Norma de Seguridad de Datos para las Aplicaciones de Pago (PA-DSS) y los requisitos de Seguridad de Transacciones con PIN (PTS).
Los cinco miembros fundadores, American Express, Discover Financial Services, JCB Inte4rnational, MasterCard Worldwide, y Visa, Inc., han acordado incorporar la PCI DSS como los requisitos técnicos de cada uno de sus programas de cumplimiento en materia de seguridad de datos. Cada miembro fundador también reconoce que los Evaluadores de Seguridad de Certificados (QSA) y los Proveedores Aprobados de Escaneo (ASV) certificados por el PCI Security Standards Council están habilitados para validar el cumplimiento con la PCI DSS.

Telecomkh.com: Recientemente habéis anunciado la versión 2.0 de las normas PCI DSS y PA DSS ¿Nos podría hablar sobre este particular?
Bob Russo: La versión previa (1.2.1) de estas normas de seguridad estará vigente hasta el 31 de Diciembre de este año. Las nuevas versiones 2.0,  que serán efectivas a partir del 1 de Enero del 2011, no requieren mayores requerimientos. Están diseñadas para proporcionar mayor claridad y flexibilidad, y así mejorar la comprensión de las normas y su implementación por parte de la industria de las tarjetas de pago. Tenemos todo un año. Es tiempo suficiente para entender el estandar. Así se dará más tiempo a las organizaciones para implementarlas y obtener sus opiniones y reacciones durante todo el proceso con el objetivo de mejorar estas normas más adelante. Eso sí, a partir del 1 de Enero del 2012, todas las evaluaciones del cumplimiento de la normas de seguridad del PCI se harán con la versión 2.0 como referencia.

Telecomkh.com: ¿Cómo se está llevando en Europa la adopción de los diferentes estándares PCI?
Russo: De forma muy positiva. El feedback del mensaje que hemos transmitido a todas las entidades ha sido excelente. En este sentido, la formación ha sido clave. Antes, no se sabía lo que era el PCI, y ahora sí lo saben.
Estamos muy contentos de ver que el tema de la seguridad en las tarjetas de pago está mejorando a nivel mundial, no sólo en Europa, como lo demuestran los cientos de representantes de las organizaciones de todo el mundo, así sean comerciantes, bancos, entidades emisoras, asociaciones industriales y los asesores, que han participado en nuestras reuniones.

Telecomkh.com: Se habla mucho sobre el tema de la seguridad en la realización de pagos a través del  teléfono móvil, sobre todo en países del Tercer Mundo, como en Africa y en algunos países asiáticos, en donde no es usual utilizar tarjetas de pago y sí el teléfono móvil.¿Nos podría hablar sobre este tema?
Russo: Desafortunadamente, no tenemos participación en el tema de la seguridad en este sector. Pero es algo con lo que tenemos que trabajar.

Telecomkh.com: En vuestro último Congreso realizado en Barcelona se ha discutido sobre la evaluación del Consejo acerca de las tecnologías emergentes, incluida la nueva orientación de EMV y el encriptado punto a punto. ¿Nos podría decir cuáles son los aspectos más importantes que ha tratado el Consejo respecto a estas nuevas tecnologías?
Russo: La EMV es una tecnología madura. El uso del chip se está implantando en todas las entidades de los países más avanzados y la tarjeta sigue siendo válida en cajeros y comercios de cualquier lugar del mundo. El chip aporta la capacidad de mantener aplicaciones distintas a las de pago en la propia tarjeta (programas de fidelización, transporte, firma digital....), por lo que permitirá en un futuro la integración de más servicios en la tarjeta a través del chip, y siempre de una forma más segura.
El encriptado punto a punto necesita ser claramente definido. Existe un considerable interés entre los proveedores de servicios y comerciantes en usar alguna forma de encriptamiento punto a punto para proteger mejor los datos de los usuarios de tarjetas.
De acuerdo con la hoja de ruta del encriptado punto a punto, el consejo planea emitir un documento que buscará definir los requerimientos y el proceso para validar de forma efectiva las soluciones de encriptación punto a punto usadas para proteger los datos de los usuarios de tarjetas.
Este siempre ha sido un tema de discusión en el cumplimiento PCI, no sólo en la última reunión celebrada en Barcelona, ya que intenta establecer algún tipo de límites en la red de una organización y en los procesos relacionados con el manejo de las tarjetas de pago.
Todos los negocios que aceptan las tarjetas de pago deben demostrar el cumplimiento del PCI Data Security Standard (DSS), entre otros posibles requerimientos, y utilizar el encriptamiento punto a punto podría eventualmente cambiar la forma en que es considerado el alcance de la PCI.
Se espera que este documento sea emitido en 2011.

 

valorar este articulo:
Su voto: Nada

Enviar un comentario nuevo

Datos Comentario
El contenido de este campo se mantiene como privado y no se muestra públicamente.
Datos Comentario
Datos Comentario
Enviar