Seguridad en tarjetas de pago: Payment Card Industry Data Security Standard (PCI DSS)

Buenas,

Imagino que muchos os preguntaréis cómo se gestiona la seguridad de las tarjetas de pago, ya que a fin de cuentas, son elementos que equivalen a todos los efectos a llevar en la cartera dinero en efectivo, con lo que la seguridad de las tarjetas se transforma en un objetivo fundamental de la industria bancaria.

Como sucede en cualquier ámbito de la seguridad, no existen elementos que proporcionen un 100% de seguridad ante todos los escenarios de riesgo. Las tarjetas de pago no son una excepción, y prueba de ello son los fraudes de clonado, el ejemplo probablemente más representativo. No obstante, en este artículo, vamos a ver cómo se gestiona un nivel mínimo de seguridad cuando tenemos que hacer tratamiento de datos relativos a titulares de tarjetas de crédito. Las medidas técnicas que respaldan estas medidas organizativas son diversas y complejas, y no serán objeto de nuestro estudio.

Las amenazas

Me gusta mucho proyectar este video para ilustrar la principal amenaza en el mundo de las tarjetas de pago. Hace un tiempo ya lo comentamos en este blog.

Payment Card Industry Data Security Standard (PCI DSS)

Entender el estándar PCI DSS puede ser algo enrevesado. Quizás alguien pueda necesitar echar un ojo a este paper, PCI DSS made easy, que aunque tiene un tinte comercial de la empresa GFI muy marcado, no deja de ser un documento para entender este estándar de una manera accesible.

En lo que al estándar respecta, comentar que la versión actual es la de Septiembre de 2006, numerada como versión 1.1. Desafortunadamente, no existe un versión en castellano.

El estándar tiene 6 dominios, en los que se definen 12 requisitos para construir una infraestructura confiable para el procesado de transacciones mediante tarjetas de pago. Los requisitos son elementales, y son de fácil adopción para cualquier Entidad que se proponga cumplir con los estándares:

1. Construir y mantener una infraestructura segura

Requisito 1: Instalar y mantener una configuración de firewall para proteger los datos de titulares de tarjetas.
Requisito 2: No emplear configuraciones por defecto en los elementos de protección.

2. Proteger los datos de los titulares

Requisito 3: Proteger los datos de titulares de tarjeta almacenados.
Requisito 4: Cifrar las transmisiones de datos de titulares de tarjeta en redes abiertas y públicas.

3. Mantener un programa de gestión de las vulnerabilidades

Requisito 5: Emplear y actualizar periódicamente el software antivirus.
Requisito 6: DEsarrollar y mantener sistemas y aplicaciones seguras.

4. Implementar medidas fuertes de control de acceso

Requisito 7: Restringir el acceso a los datos de titulares al ámbito de lo estrictamente necesario para ofrecer el servicio.
Requisito 8: Asignar un identificador único a cada persona con acceso a equipos de proceso.
Requisito 9: Restringir la seguridad física para acceder a los datos de titulares.

5. Monitorizar y someter a pruebas regulares las redes

Requisito 10: Monitorizar y hacer seguimiento a todos los recursos de red y a los datos de titulares.
Requisito 11: Probar regularmente la seguridad de los sistemas y procesos.

6. Mantener una Política de Seguridad de la Información

Requisito 12: Mantener una política que cubra la seguridad de la información.

Como podéis comprobar, nada nuevo bajo el sol. Una eficiente combinación de infraestructura segura, datos protegidos, gestión de vulnerabilidades, control de acceso adecuado, monitorización y aplicación en todos los niveles de las adecuadas políticas y procedimientos debería ser suficiente.

Aunque, como todos sabemos, un mínimo descuido en cualquiera de estos ámbitos implica que todo el sistema se venga abajo.

Un saludo,

4 comentarios sobre “Seguridad en tarjetas de pago: Payment Card Industry Data Security Standard (PCI DSS)

  1. Aquí en España hubo un caso real de este tipo y de mucha repercusión hace unos años en los puestos de peaje de una autopista catalana ¿recuerdas? Uno de los operarios que recogía el pago con tarjeta las clonaba y luego se hacían con ellas micropagos de tan sólo unos pocos euros a distintas empresas de forma que pasaban inadvertidas al poseedor de la tarjeta.

  2. Para acabar con el clonado de tarjetas bastaría con haber dado un empujón a Mobipay y que esta solución las sustituyera.

    El clonado de una SIM es posible, pero bastante más complicado que el de la banda magnética de las tarjetas.

    Además sacar la operación de autorización del pago de un producto o la autenticación en banca electrónica de la red al teléfono móvil evitaría los problemas de «phishing», se facilitaría la protección de datos personales,…

    Y por otra parte, en las transacciones presenciales se podría evitar que alguien se lleve la tarjeta a un lugar fuera de nuestro control visual. Y así un largo etcétera, pero ¿por qué carajo no cuaja esto?

    En fin…

  3. josemaria,

    No conocía el caso que comentas, pero desde luego que se lo tuvo que montar bien el condenado :)

    deincognito,

    Mobipay está funcionando hace tiempo ya. En BBVA, donde evidentemente concentro mis servicios de pago, Mobipay está funcionando y bastante bien.

    Yo baso mi seguridad de tarjetas en Mobipay, si el riesgo es elevado, y con mensajes de confirmación si el riesgo es bajo. Y me va de lujo.

    De todos modos, cuando EMV se consolide en España, las cosas debería ir mejor. El problema es lo que pasa en otros países, donde la seguridad digital es todavía una verbena, y donde deslizar una tarjeta por un lector es una actividad de alto riesgo.

    Un saludo a ambos,

  4. Sergio, JoseMaria, Deincognito:

    Me parece fantastico las iniciativas de proteccion tipo mobipay (la cual creo a ciencia cierta que es un estrujacuentas de telefono).

    Si miramos los datos emitidos como por ejemplo RBR, deducimos lo siguiente:

    España tiene un 98% de cajeros que soportan EMV
    España tiene un 86% de tpv’s que soportan EMV
    España tiene emitidas (Fin ’06) solo un 1% de tarjetas EMV.

    La razon de la implantacion del HW EMV es por el rechazo de las entidades extranjeras a las operaciones tratadas en banda en vez de en chip. Por lo que niuestro bancos se «comen» la operación. Sin embargo a estos mismos Bancos les importa «un bledo» lo que les pase a sus clientes, ya que tienen unas hermosas polizas de seguros que les cubre en caso de una reclamacion seria por parte de un cliente. Antes de que esto ocurra, si un cliente se puede «comer» la operacion fraudulenta, se la comerá.

    El coste de un «plastico» normal es de unos 20 cent/¤ pero el coste una tarjeta EMV es de unos 5¤. ¿ que le pasa a la Banca Española? ¿Quieren ganar mucho e invertir poco?

    Saludos a todos.

    ATM.Master

Comentarios cerrados.