Solo el 21% de las empresas de ACE disponen del certificado PCI

Solo el 21% de las empresas de ACE disponen del certificado PCI

Por todos es conocido que la certificación es un procedimiento destinado a que un organismo independiente y autorizado, valide o dictamine los modelos de gestión, procedimientos, pautas, productos… de una organización, partiendo y verificando si la misma cumple o no lo dispuesto por un determinado referencial o modelo, reconocido y oficial.

Muchos son los referenciales existentes y muchas las certificaciones. Si nos circunscribimos a los productos, ya un marcado CE en Europa, o N en España, constituyen certificaciones. Igualmente sucede en el ámbito de la gestión, donde se evalúa el nivel de cumplimiento que los procedimientos implementados en una organización tiene respecto a un modelo o norma reconocidos en ámbitos geográficos más o menos amplios.

Destacan en este sentido, por su amplia implementación, los referenciales ISO 9001 para sistemas de gestión de la calidad, ISO 14001 para sistemas de gestión medioambiental, o las ISO 27000 para seguridad de los sistemas de información.

Toda certificación implica una serie de cambios organizativos y procedimentales que afectan total o parcialmente a la misma con un nivel menor o mayor de esfuerzo, y que se dirigen especialmente a la planificación, ejecución, medición y mejora de las formas de hacer las cosas. También cobran cada vez más importancia y presencia la prevención y evaluación de riesgos, de tal forma que entran a formar parte de los ámbitos decisionales de la organización.

Hasta el momento hemos mencionado certificaciones “generalistas”. Pero existen certificaciones o modelos específicos para sectores o industrias concretos. Es el caso de PCI, Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard) o PCI DSS. Fue desarrollado por un comité conformado por las compañías de tarjetas de débito y crédito más importantes, comité denominado PCI SSC (Payment Card Industry Security Standards Council) como una guía que ayude a las organizaciones que procesan, almacenan y/o transmiten datos de tarjetahabientes (o titulares de tarjeta), a asegurar dichos datos, con el fin de evitar los fraudes que involucran tarjetas de pago débito y crédito.

Esta validación es realizada por auditores autorizados Qualified Security Assessor (QSAs), los cuales evalúan el nivel de cumplimiento que pudiera tener la compañía respecto a 12 requisitos organizados en 6 secciones relacionadas lógicamente, que son llamadas “objetivos de control”. Los objetivos de control y sus requisitos son los siguientes:

Requisitos para desarrollar y mantener una red segura

  1. Instalar y mantener una configuración de cortafuegos para proteger los datos de los propietarios de tarjetas.
  2. No usar contraseñas del sistema y otros parámetros de seguridad predeterminados provistos por los proveedores.

Requisitos para proteger los datos de los propietarios de tarjetas

  1. Proteger los datos almacenados de los propietarios de tarjetas.
  2. Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida a través de redes públicas abiertas.

Requisitos para mantener un programa de gestión de vulnerabilidades

  1. Usar y actualizar regularmente un software antivirus.
  2. Desarrollar y mantener sistemas y aplicaciones seguras.

Requisitos para implementar medidas sólidas de control de acceso

  1. Restringir el acceso a los datos tomando como base la necesidad del funcionario de conocer la información.
  2. Asignar una identificación única a cada persona que tenga acceso a un computador.
  3. Restringir el acceso físico a los datos de los propietarios de tarjetas.

Monitorizar y probar regularmente las redes

  1. Rastrear y monitorizar todo el acceso a los recursos de la red y datos de los propietarios de tarjetas.
  2. Probar regularmente los sistemas y procesos de seguridad.

Mantener una política de seguridad de la información

  1. Mantener una política que contemple la seguridad de la información.

La lectura de los requisitos da una idea del esfuerzo, ya no solo organizativo, sino también tecnológico y de inversión, que precisa realizar una organización para poder contar en su haber con semejante reconocimiento. Y no son muchas las compañías que están en condiciones de hacerlo. Según el Estudio de Mercado del sector del Contact Center: informe global del mercado Español y extranjero, datos 2017 que cada año edita la Asociación de Contact Center Española (ACE), tan solo el 21% de las plataformas de las empresas de ACE disponen de PCI.

En Sum Talk hemos venido realizando un esfuerzo considerable durante el año 2017 para adaptar nuestras formas de hacer a los requisitos de PCI DSS, culminando dicho proceso con el reconocimiento de un QSA autorizado que manifiesta que Sum Talk ha demostrado un total cumplimiento con PCI DSS.

También puede interesarte...