Alberto España ocupa, desde el mes de febrero, el puesto de CEO en Solver4, una empresa de la que también es socio fundador, especializada en cumplimiento de normativas y estándares de seguridad, y que busca impulsar el cumplimiento de la normativa PCI DSS para proteger los datos de las tarjetas de crédito y cumplir con el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS).
El directivo es una figura reconocida a nivel internacional en el mundo de la industria de pagos, donde lleva 30 años desarrollando su carrera y ha podido trabajar y ocupar puestos de responsabilidad para líderes de la industria tales como Visa Internacional, American Express, Citibank y Banco Santander en las áreas de Gestión de Riesgos, Seguridad y PCI Compliance.
“Que un tercero avale que una organización, sus empleados y procesos estén protegidos es muy importante”, dice Alberto España hablando de la importancia de las certificaciones. Hablamos con el directivo de manera especial del a normativa PCI DSS, el estándar de seguridad de datos para la Industria de tarjetas de pago que protege los números de los clientes para que no se lo puedan robar o copiar y usar fraudulentamente en otro comercio.
Explica el directivo que se trata del estándar de facto de la industria de pagos. Es decir, si tu negocio necesita procesar, transmitir y almacenar datos de tarjetas de crédito, necesitas cumplir con PCI DSS, que este año ha alcanzado la versión 4.0. La versión, explica el directivo, “trae cambios muy importantes tanto en tecnología como en procesos y en un mejor gobierno de la empresa sobre el proceso de seguridad de información”. Añade Alberto España que esta nueva versión supone un salto importante porque trata de añadir “más seguridad, más cumplimiento y más protección”. Es una versión que, además, “requiere de una inversión en tecnología adecuada”, dice el directivo, que aboga por compartir información y experiencias que ayuden a reducir el impacto que puede tener en las empresas lograr esa certificación.
Las organizaciones que procesan y operan dichos pagos de tarjeta de crédito (TDC), tienen hasta el primer trimestre de 2025 para adecuarse y cumplir plenamente con los 12 objetivos de control definidos en esta nueva versión del estándar PCI DSS v4.0. La versión actual permanecerá activa hasta marzo de 2024, y los nuevos requisitos inicialmente entrarán en vigor a partir del 31 de marzo de 2025. Entre los nuevos objetivos de este nuevo estándar destacan: optimizar las técnicas de control y validación para lograr mayor claridad en la información de cumplimiento; promover el uso de seguridad en todas las fases de los procesos, haciendo énfasis en la importancia de la seguridad; mejorar las prácticas de seguridad en la industria de pago; aportar una mayor flexibilidad e integración con otras metodologías.
En opinión de Alberto España, la nueva normativa tendrá un impacto importante en empresas pequeñas y medianas “que van a decidir que no quieren tener ya los datos de los clientes en sus sistemas”. Cree que el dato va a estar cada día menos presente en el comercio, que optará por el uso de tokens que reemplazarán el número de la tarjeta; “ya no será el comercio quien guarde el número original, sino un tercero especializado”, que puede ser Solver 4.
En cuanto a las empresas grandes, querrán tener el dato del cliente “porque les conviene por temas de lealtad, que la compra no tenga fricción, otros temas ya de negocio”.
Novedades de PCI DSS 4.0
La nueva versión de PCI DDS añade 64 nuevos requerimientos, de los cuales 11 se aplican a proveedores de servicios, 53 a todas las entidades y 51 se consideran buenas prácticas.
La gestión de acceso e identidad (IAM) juega un papel base en la protección de los datos del titular de la tarjeta, y la nueva versión del estándar lo reconoce. El Uso de autenticación multifactor (MFA) para todas las cuentas que tienen acceso a los datos del titular de la tarjeta, no solo para los administradores que acceden al entorno de datos del titular de la tarjeta. El número mínimo de dígitos se ampliará de 7 a 12, mientras que el número de intentos de bloqueo se ampliará de 6 a 10. PCI DSS requiere que las posibles contraseñas se comparen con la lista de contraseñas incorrectas conocidas.
En cuanto a los procesos, se exige mantener actualizados los diagramas e identificar todas las localizaciones donde se guarde, procese y transmitida el dato.
Quizá uno de los cambios más significativos es que todos los escaneos de vulnerabilidad interna deben ser autenticados, hacer revisiones periódicas de tecnología usada e implementar soluciones automatizadas. Además, se deben identificar los activos que se deben proteger y controlar las amenazas a través de procesos automatizados de detección de eventos.
