Por todos es conocido que la certificación es un procedimiento destinado a que un organismo independiente y autorizado, valide o dictamine los modelos de gestión, procedimientos, pautas, productos… de una organización, partiendo y verificando si la misma cumple o no lo dispuesto por un determinado referencial o modelo, reconocido y oficial.
Muchos son los referenciales existentes y muchas las certificaciones. Si nos circunscribimos a los productos, ya un marcado CE en Europa, o N en España, constituyen certificaciones. Igualmente sucede en el ámbito de la gestión, donde se evalúa el nivel de cumplimiento que los procedimientos implementados en una organización tiene respecto a un modelo o norma reconocidos en ámbitos geográficos más o menos amplios.
Destacan en este sentido, por su amplia implementación, los referenciales ISO 9001 para sistemas de gestión de la calidad, ISO 14001 para sistemas de gestión medioambiental, o las ISO 27000 para seguridad de los sistemas de información.
Toda certificación implica una serie de cambios organizativos y procedimentales que afectan total o parcialmente a la misma con un nivel menor o mayor de esfuerzo, y que se dirigen especialmente a la planificación, ejecución, medición y mejora de las formas de hacer las cosas. También cobran cada vez más importancia y presencia la prevención y evaluación de riesgos, de tal forma que entran a formar parte de los ámbitos decisionales de la organización.
Hasta el momento hemos mencionado certificaciones “generalistas”. Pero existen certificaciones o modelos específicos para sectores o industrias concretos. Es el caso de PCI, Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard) o PCI DSS. Fue desarrollado por un comité conformado por las compañías de tarjetas de débito y crédito más importantes, comité denominado PCI SSC (Payment Card Industry Security Standards Council) como una guía que ayude a las organizaciones que procesan, almacenan y/o transmiten datos de tarjetahabientes (o titulares de tarjeta), a asegurar dichos datos, con el fin de evitar los fraudes que involucran tarjetas de pago débito y crédito.
Esta validación es realizada por auditores autorizados Qualified Security Assessor (QSAs), los cuales evalúan el nivel de cumplimiento que pudiera tener la compañía respecto a 12 requisitos organizados en 6 secciones relacionadas lógicamente, que son llamadas “objetivos de control”. Los objetivos de control y sus requisitos son los siguientes:
Requisitos para desarrollar y mantener una red segura
- Instalar y mantener una configuración de cortafuegos para proteger los datos de los propietarios de tarjetas.
- No usar contraseñas del sistema y otros parámetros de seguridad predeterminados provistos por los proveedores.
Requisitos para proteger los datos de los propietarios de tarjetas
- Proteger los datos almacenados de los propietarios de tarjetas.
- Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida a través de redes públicas abiertas.
Requisitos para mantener un programa de gestión de vulnerabilidades
- Usar y actualizar regularmente un software antivirus.
- Desarrollar y mantener sistemas y aplicaciones seguras.
Requisitos para implementar medidas sólidas de control de acceso
- Restringir el acceso a los datos tomando como base la necesidad del funcionario de conocer la información.
- Asignar una identificación única a cada persona que tenga acceso a un computador.
- Restringir el acceso físico a los datos de los propietarios de tarjetas.
Monitorizar y probar regularmente las redes
- Rastrear y monitorizar todo el acceso a los recursos de la red y datos de los propietarios de tarjetas.
- Probar regularmente los sistemas y procesos de seguridad.
Mantener una política de seguridad de la información
- Mantener una política que contemple la seguridad de la información.
La lectura de los requisitos da una idea del esfuerzo, ya no solo organizativo, sino también tecnológico y de inversión, que precisa realizar una organización para poder contar en su haber con semejante reconocimiento. Y no son muchas las compañías que están en condiciones de hacerlo. Según el Estudio de Mercado del sector del Contact Center: informe global del mercado Español y extranjero, datos 2017 que cada año edita la Asociación de Contact Center Española (ACE), tan solo el 21% de las plataformas de las empresas de ACE disponen de PCI.
En Sum Talk hemos venido realizando un esfuerzo considerable durante el año 2017 para adaptar nuestras formas de hacer a los requisitos de PCI DSS, culminando dicho proceso con el reconocimiento de un QSA autorizado que manifiesta que Sum Talk ha demostrado un total cumplimiento con PCI DSS.
