13/11/07 13:34:48
VISA DICE BASTA A LOS ROBOS DE TARJETAS EN LA RED
Las principales firmas de tarjetas de pago exigen unos mínimos de seguridad al comercio electrónico
Mercè Molist
El comercio electrónico
está viviendo una carrera que ríase usted de la
adaptación al año 2000. Bancos, tiendas y pasarelas que
almacenan datos bancarios deberán cumplir antes de 2008 un nuevo
estándar de seguridad, dictado por las principales firmas de
tarjetas de pago. En caso contrario, no podrán usar estas
plataformas para comercializar sus productos.
La razón de esta medida
radica en una práctica común pero peligrosa del comercio
electrónico, explica Simon Perry, vicepresidente de
Gestión de Seguridad de Computer Associates: "Cuando compras con
tarjeta en Internet, la tienda guarda tus datos para que la
próxima vez no tenga que pedírtelos y sea más
fácil para tí. El problema es que así se crean
bases de datos con información de cientos de miles de tarjetas,
muy apetecibles para los delincuentes".
Los robos de estas bases de datos
han sido una práctica habitual en los últimos años
y un secreto a voces que las empresas se han negado a publicitar. Esto
cambió en 2005, cuando el estado norteamericano de California
aprobó la "Ley de Información de Brechas de Seguridad",
que obligaba a notificar a los clientes los robos de información
personal.
Con la ley, aumentaron
exponencialmente las noticias sobre compromisos de bases de datos y
también la desconfianza de los consumidores, explica Simon
Perry: "A la gente le preocupa cada vez más la seguridad a la
hora de comprar en Internet y esto se ha convertido en un importante
problema empresarial que justo ahora las compañías
empiezan a reconocer".
Diversas encuestas realizadas por
Computer Associates confirman esta sensación, también en
Europa, explica Perry: "Las decisiones de compra electrónica de
los consumidores más educados y que gastan más se basan
sobre todo en la confianza en que el sitio sabrá guardar sus
datos bancarios, convirtiéndose así en uno de los
principales motivos de compra".
Conocedoras de esta
situación, las principales entidades de tarjetas de pago,
American Express, Visa, MasterCard, Discover Financial Services y JCB,
han creado el Estándar de Seguridad de los Datos de la Industria
de Pago con Tarjeta (PCI DSS son sus siglas en inglés), de
obligado cumplimiento a partir de 2008.
El estándar establece unas
normas básicas para este tipo de bases de datos: además
de las medidas habituales como usar antivirus, cortafuegos e instalar
parches de seguridad, los datos deben ser cifrados y los accesos a la
máquina, controlados y grabados, de forma que todos los que la
usen estén claramente identificados.
Las penalizaciones por no
homologarse van desde multas hasta la retirada del permiso para usar
estas tarjetas de pago. Muchas empresas han esperado hasta el
último momento, lo que ha provocado que desde las grandes
consultoras internacionales hasta las pequeñas estén
trabajando a destajo en ponerlas a punto para el nuevo estándar.
Aunque la medida no afecta
sólo al comercio por Internet sino a cualquier
compañía que almacene datos bancarios en formato
electrónico, está especialmente dirigida a aumentar la
seguridad del primero. Algo muy necesario, según Perry: "De las
muchas empresas que he auditado, todas tenían algo que arreglar,
a pesar de que las medidas que requiere el estándar son de
seguridad muy básica".
Pero, para este ejecutivo, "lo
que pone los pelos de punta es que en Europa no haya una ley que
obligue a las empresas a informar de estos robos. Aunque se ha pedido y
discutido a nivel de Comisión Europea, sigue sin haber nada
porque a las compañías les preocupa la pérdida de
reputación. Mi opinión es: dejen de discutir y
háganlo".
PCI Security Standards Council
https://www.pcisecuritystandards.org
Computer Associates
http://ca.com/es
Copyright 2007 Mercè Molist.
Verbatim copying, translation and
distribution of this entire article is permitted in any digital and no
commercial medium, provide this notice is preserved.
<<