La Ley de Protección de Datos de Tarjetas de Pago (PCI DSS, del inglés Payment Card Industry Data Security Standard) es un conjunto de normas y requisitos diseñados para indicar a las empresas que manejan información y datos de tarjetas de crédito y débito, a mantener un nivel adecuado de seguridad de la información. Esta ley fue desarrollada por un consorcio formado por los principales emisores de tarjetas de crédito y débito (American Express, Visa, MasterCard y Discover) y aprobada por la Comisión Federal de Comercio (FTC) de los Estados Unidos. Fue diseñada para proteger los datos personales de los clientes de la industria bancaria.
Famosos y graves fueron y suponen las brechas de seguridad bancaria, mencionaremos algunas de ellas, en noviembre de 2013, la cadena minorista Target fue víctima de un ataque informático que afectó a más de 40 millones de tarjetas de crédito. El ataque también expuso los datos de los clientes de Target, como nombres y direcciones. Equifax sufrió un ataque informático masivo que afectó a 147 millones de personas en todo el mundo. Los datos robados incluyeron números de seguro social, nombres, direcciones y datos bancarios. De igual forma, el banco estadounidense JPMorgan Chase fue víctima de un ataque informático que expuso los datos bancarios de 76 millones de sus clientes. La cadena minorista Home Depot fue víctima de un ataque informático que expuso los datos de 56 millones de tarjetas de crédito, el procesador de tarjetas de crédito Heartland Payment Systems fue víctima de un ataque informático que expuso los números de tarjetas de crédito de 130 millones de sus clientes.
Esta regulación, fue creada para reducir el riesgo de fraude y proteger la información de los titulares de tarjetas. La ley PCI DSS establece un conjunto de requisitos para que las empresas cumplan con los estándares de seguridad para el manejo de la información de tarjeta de crédito y débito. La ley establece requisitos para la seguridad de los datos personales por cualquier empresa que maneje información de tarjetas de crédito y débito y establece responsabilidades para las entidades, que violan estos requisitos
Estos requisitos incluyen:
1.-El uso de cifrado seguro.
2.-El mantenimiento de procedimientos de seguridad en la red.
3.-El almacenamiento seguro de los datos.
4.-La verificación de la identidad.
5.-El borrado seguro y certificado.
6.- La gestión de los riesgos y notificación de incidentes.
7.-La recuperación de desastres.
8.- Formar a los empleados. Los empleados deben estar familiarizados con los procedimientos de seguridad y los protocolos relacionados con el manejo de la información de los titulares de tarjetas. Esto ayuda a reducir el riesgo de que los datos sean expuestos o robados.
Estos requisitos deben ser cumplidos, por las entidades financieras, como bancos, cooperativas de ahorro y crédito, tarjetas de crédito y otros proveedores de servicios financieros, procesadores de tarjetas de pago, comerciantes, proveedores de servicios, integradores de sistemas, los comerciantes minoristas que venden productos y servicios a través de tarjetas de crédito también deben cumplir con los estándares de seguridad PCI. Ejemplos de ello son:
- Apple Pay: una de las aplicaciones de pago más populares, Apple Pay permite a los usuarios realizar pagos a través de sus dispositivos móviles. Utiliza la tecnología de Procesamiento de Tarjetas de Pago (PCI) para procesar los pagos de forma segura.
- PayPal: PayPal es uno de los principales proveedores de pagos en línea. Utiliza la tecnología de Procesamiento de Tarjetas de Pago (PCI) para proteger los datos de los usuarios y garantizar una transacción segura.
- Google Wallet: una de las principales aplicaciones de pago móvil, Google Wallet utiliza la tecnología de Procesamiento de Tarjetas de Pago (PCI) para procesar los pagos de forma segura.
- Amazon Payments: Amazon Payments es un servicio de pago en línea que permite a los usuarios realizar pagos a través de su cuenta de Amazon. Utiliza la tecnología de Procesamiento de Tarjetas de Pago (PCI) para procesar los pagos de forma segura.
A imagen y semejanza de P.C.I el 27 de diciembre se publicó en el Diario Oficial de la Unión Europea, el Reglamento UE 2022/2554 de Resiliencia Operativa (DORA) Digital del sector financiero, en cumplimiento de las directrices del refuerzo de la seguridad informática de entidades financieras como bancos, compañías de seguros y empresas de inversión, aprobó la Ley de Resiliencia Operativa Digital (DORA), que garantizará que el sector financiero en Europa pueda mantener operaciones resilientes a través de una grave perturbación operativa. DORA establece requisitos uniformes para la seguridad de las redes y sistemas de información de las empresas y organizaciones que operan en el sector financiero, así como de terceros esenciales que les presten servicios relacionados con las TIC (tecnologías de la información y la comunicación), como plataformas en la nube o servicios de análisis de datos. Estos requisitos son homogéneos en todos los Estados miembros de la UE. El objetivo principal es prevenir y mitigar las amenazas cibernéticas.
En virtud de la DORA, todas las instituciones financieras deben aplicar un programa de ciberseguridad que incluya políticas, procedimientos y actividades de gestión de riesgos. Estas políticas deben ser revisadas anualmente por un regulador financiero externo que proporcionará una evaluación de si son adecuadas o no en base a los estándares de la industria. DORA se ha adoptado formalmente, los aspectos que requieren una transposición nacional serán convertidos en ley por cada Estado miembro de la UE. Al mismo tiempo, las Autoridades Europeas de Supervisión (AES) pertinentes, como la Autoridad Bancaria Europea (ABE), la Autoridad Europea de Valores y Mercados (ESMA) y la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ), elaborarán normas técnicas que deberán cumplir todas las entidades de servicios financieros, desde la banca hasta las aseguradoras y los gestores de activos.
EL borrado seguro y certificado en el PCI
El artículo 3 de la norma regulatoria de P.C.I, exige que las entidades bancarias adopten medidas para proteger los datos personales contra el uso no autorizado, la alteración, el acceso no autorizado, la divulgación, el daño o la destrucción. Estas medidas incluyen procedimientos para el borrado seguro de los datos cuando ya no sean necesarios. El Estándar de borrado establece reglas para borrar los datos almacenados en los equipos, medios de almacenamiento magnéticos, discos duros, cintas de seguridad, impresoras de punto de venta, equipos de procesamiento de tarjetas de débito y otros equipos. Estas reglas incluyen el uso de herramientas de borrado seguro y la verificación de que el borrado se ha completado satisfactoriamente.
Para cumplir con los estándares de seguridad de la industria de tarjetas de pago, los datos de tarjetas de pago se borran mediante la utilización de técnicas de borrado seguro, como el borrado físico, el borrado lógico y el borrado criptográfico. Estas técnicas se implementan para garantizar que los datos de tarjetas de pago no se puedan recuperar y que no puedan ser utilizados por terceros no autorizados. Además, los estándares exigen que los datos de tarjetas de pago sean borrados de forma certificada. Esto significa que los datos de tarjetas de pago deben ser borrados por una entidad certificada y que cada borrado debe ser documentado y verificado para garantizar que se haya realizado de forma correcta. Esto también permite a los titulares de tarjetas de pago efectuar un seguimiento de los datos de tarjetas de pago que se han borrado para garantizar que los datos sean borrados de forma segura.
Es importante borrar los discos duros de los cajeros tras las operaciones bancarias para proteger la información confidencial y los datos personales de los usuarios. La eliminación de los datos en los discos duros evita la posibilidad de que los datos sean recuperados y expuestos a posibles violaciones de la seguridad. Esto ayudará a mantener la seguridad de los usuarios y asegurará que sus datos permanezcan seguros. Además, borrar los discos duros de los cajeros tras las operaciones bancarias también ayuda a mantener la integridad de los procesos bancarios y evitar el uso fraudulento de los servicios bancarios.
Para más información visite www.deletetechnology.com
Autor,
Rafael Chust Calero
Director Delete Technology España & Portugal
