La caja fuerte siempre ha ocupado un lugar especial en una compañía. Un sitio que garantice la máxima seguridad, robustez y discreción del contenido que alberga. Algo similar pasa con los datos digitales de los clientes que almacenan las compañías; en especial, los que están relacionados con los métodos de pago. Por ese motivo, la caja virtual que contenga esa información tan sensible –como la relacionada con tarjetas de crédito o de débito– tiene que blindarse ante cualquier ciberataque.
Aquí es donde entra en juego la normativa PCI DSS 4.0. Pero vayamos por partes. Por un lado, es importante destacar lo que es la PCI DSS (Payment Card Industry Data Security Standard). Se trata de una certificación, de obligado cumplimiento para quienes guardan, procesan o transmiten datos de tarjetas, que está avalada por las principales compañías emisoras de tarjetas de pago (VISA, Mastercard, JCB, Discover y American Express). Su objetivo principal es reducir el fraude relacionado con las tarjetas de pago, así como proteger sus datos. De ahí que las organizaciones que cumplen con esta normativa puedan garantizar la seguridad de la información personal y financiera de sus clientes.
Por otro lado, ese 4.0 hace referencia a la nueva actualización de la norma, que se lanzó en marzo de 2022 y que reemplazará a la versión actual, la 3.2.1. El 31 de marzo de 2024 es la fecha tope que tienen las compañías que acepten información de pagos online para cumplir obligatoriamente con esa nueva versión y evitar así enfrentarse a cuantiosas sanciones.
«Iniciar la transición a la nueva normativa PCI DSS 4.0 permitirá ofrecer a los clientes mayor confianza y tranquilidad, al proteger sus datos y evitar el peligro de robo o de mal uso».
Y volviendo a esa analogía de la caja fuerte virtual, podríamos decir que la normativa PCI DSS 4.0 establece las reglas para asegurar la protección de esa caja. Por ejemplo, este estándar establece que la empresa debe utilizar contraseñas seguras para acceder a la información o que ésta esté encriptada. Asimismo, contempla inspecciones regulares para comprobar que se cumplen los requerimientos de seguridad.
Por todo ello, iniciar la transición a esta nueva actualización cuanto antes permitirá a las compañías hacerlo de una forma paulatina y asegurarse de que lo harán en plazo. Además, ofrecerían a sus clientes cuanto antes una mayor confianza y tranquilidad, al poder proteger sus datos de una forma óptima y evitar así el peligro de que sean robados o mal usados.
Pero, ¿cuáles son las principales novedades que trae la normativa PCI DSS 4.0? La más destacada, sin duda, es que hace un gran esfuerzo para que las necesidades de seguridad de la industria de pagos están siempre cubiertas, pese a su constante evolución. Además, pone el foco en el cliente. En este sentido, cabe destacar cómo la gestión de identidades y de accesos hace hincapié en el proceso de autenticación y de inicio de sesión, con el fin de proteger al máximo los datos del titular de tarjeta.
«También los usuarios debemos empezar a interesarnos por cuestiones que afectan tan de lleno a nuestros datos personales y, en este caso, de pago: saber diferenciar un sitio seguro del que no lo es».
También introduce cambios en la transmisión, la visualización y el almacenamiento de los datos de tarjetas de crédito y de débito. Y, me gustaría detenerme en una novedad que considero crucial, que es el aumento de la concienciación en ciberseguridad. Si tenemos en cuenta que con esta novedad todo tiene que estar recogido como evidencia electrónica, transmitir la importancia de contar con una buena defensa frente a ciberataques es crucial.
Un compromiso que no solo tienen que adquirir los negocios, sino también los usuarios. Debemos empezar a tener ese conocimiento e interés por cuestiones que afectan tan de lleno a nuestros datos personales y, en este caso, a los de pago.
Que cuando operemos en una entidad bancaria, hagamos una compra por internet o reservemos nuestras vacaciones en una agencia de viajes online, sepamos diferenciar un sitio seguro del que no lo es antes de facilitar cualquier tipo de información.
Alberto España es CEO de Solver4.