miércoles, 28 de noviembre de 2007

Las tarjetas de pago exigen más seguridad a la venta electrónica

España, MERCÈ MOLIST 22/11/2007
El comercio electrónico está viviendo una carrera de adaptación similar al cambio de moneda en 2000. Bancos, tiendas y pasarelas que almacenan datos bancarios deben cumplir antes del 1 de enero un nuevo estándar de seguridad, dictado por las principales firmas de tarjetas de pago. En caso contrario, no podrán usar estas plataformas para comercializar sus productos.

La razón de esta medida radica en una práctica común, pero peligrosa, del comercio electrónico, explica Simon Perry, vicepresidente de Gestión de Seguridad de Computer Associates (CA): "Cuando compras con tarjeta en Internet, la tienda guarda tus datos para que la próxima vez no tenga que pedírtelos y sea más fácil para el cliente. El problema es que así se crean bases de datos con información de cientos de miles de tarjetas, muy apetecibles para los delincuentes".

Los robos de estas bases de datos han sido una práctica habitual en los últimos años y un secreto a voces que las empresas se han negado a publicitar. Esto cambió en 2005, cuando el Estado norteamericano de California aprobó la Ley de Información de Brechas de Seguridad, que obligaba a notificar a los clientes los robos de información personal.
Con la ley, aumentaron exponencialmente las noticias sobre compromisos de bases de datos y también la desconfianza de los consumidores, explica Perry: "A la gente le preocupa cada vez más la seguridad al comprar en Internet, y esto se ha convertido en un importante problema empresarial que ahora las compañías empiezan a reconocer".
Diversas encuestas realizadas por CA confirman esta sensación, también en Europa, explica Perry: "Las decisiones de compra electrónica de los consumidores más educados y que gastan más se basan sobre todo en la confianza en que el sitio sabrá guardar sus datos, convirtiéndose así en uno de los principales motivos de compra".
Conocedoras de la situación, las principales firmas de tarjetas de pago, como American Express, Visa, MasterCard, Discover Financial Services y JCB, han creado el Estándar de Seguridad de los Datos de la Industria de Pago con Tarjeta (PCI DSS son sus siglas en inglés), de obligado cumplimiento en 2008.

Normas básicas
El estándar establece normas básicas para estas bases de datos bancarios: además de los habituales antivirus, cortafuegos y parches de seguridad, los datos deben ser cifrados y los accesos a la máquina, controlados y grabados, para que los que la usen estén claramente identificados.
Las penalizaciones por no homologarse van desde multas hasta la retirada del permiso para usar estas tarjetas de pago. Muchas empresas han esperado hasta el último momento, lo que ha hecho que desde las grandes consultoras internacionales hasta las pequeñas estén trabajando a destajo en ponerlas a punto.

Aunque la medida no afecta sólo al comercio por Internet sino a cualquier compañía que almacene datos bancarios en formato electrónico, está especialmente dirigida a aumentar la seguridad del primero. Algo muy necesario, según Perry: "De las muchas empresas que he auditado, todas tenían algo que arreglar, a pesar de que las medidas que requiere el estándar son de seguridad muy básica".
Para este ejecutivo, "lo que pone los pelos de punta es que en Europa no haya una ley que obligue a las empresas a informar de estos robos. Aunque se ha pedido y discutido en la Comisión Europea, sigue sin haber nada porque a las compañías les preocupa la pérdida de reputación. Mi opinión es: dejen de discutir y háganlo".
Via El Pais.com

No hay comentarios: