En los últimos años, la digitalización del ecosistema de pagos se ha acelerado y hoy en día la mayoría de grandes negocios, e-commerces y organizaciones, ya sean B2B o B2C, disponen de métodos de pago mediante tarjeta de crédito.
En paralelo, han empezado a proliferar sistemas más avanzados como los pagos NFC, que permiten a los usuarios realizar pagos acercando su móvil a un terminal de punto de venta.
Estas nuevas tendencias han supuesto un gran avance para el ecosistema de pagos, facilitando la operativa de los mismos y la posterior gestión de los datos de los consumidores. Sin embargo, también han dado pie a nuevos y potenciales riesgos y ciberamenazas, tanto para las personas, como para las empresas que venden sus productos y servicios.
Y es que la cara B de este avance tecnológico es la creciente oleada de ciberataques en todo el mundo. En lo que va de 2024, diversas compañías y entidades financieras han sufrido ataques informáticos y robos de sus bases de datos en España, desde el Banco Santander, hasta Iberdrola, Flexicar, El Corte Inglés o la mismísima DGT.
Tanto grandes como pequeñas empresas pueden ser objetivo de hackeos informáticos y sufrir el robo de información financiera sensible, como el número de tarjeta, código de seguridad o el número PIN para la modalidad de pago presencial.
¿Qué pueden hacer las empresas para proteger la información y datos financieros?
Para tratar de paliar esta creciente oleada de ciberataques, las empresas están reforzando sus sistemas de detección, investigación y respuesta ante amenazas (TDIR) y activando nuevos SOC (Security Operations Centers), para así aumentar sus capacidades de detección y contención de amenazas.
Pero sobre todo, las organizaciones están tratando de estar al día con la normativa y activar los últimos estándares, certificaciones de seguridad e incluso nuevas directivas europeas, como por ejemplo: SWIFT, NIS 2, DORA, PS2, pero también todas las normativas y frameworks desarrollados por el PCI SSC como el PCI DSS.
Por ejemplo, el PCI DSS es el estándar mundial que proporciona una línea base de requisitos técnicos y operativos diseñados para proteger los datos del titular de tarjetas.
Este estándar se aplica a todas las entidades que participan en los procesos de almacenamiento, procesamiento y/o transmisión de datos del titular de la tarjeta y/o datos confidenciales de autenticación de las tarjetas de pago, entre las que se incluyen: Comerciantes (merchants) y Procesadores.
Este mismo año el PCI Security Standards Council lanzó la nueva versión de esta norma. La versión 4.0 introduce cambios importantes respecto a la anterior versión, como el enfoque personalizado, el cual permite que la organización pueda implementar controles para cumplir con el objetivo del enfoque personalizado establecido en el requisito de una manera que no siga estrictamente el requisito definido.
El PCI DSS es solo una pieza del complejo puzzle de normativas de seguridad. Además de esta certificación, existen diversos frameworks y normativas como sPoC, MPoC, CPoC, PCI SSF, PCI 3DS o la PCI PIN. Esta última tiene interés tanto para los consumidores, quienes pueden ver sus datos bancarios comprometidos, como para las empresas, que deben trabajar para asegurarles que esto no suceda.
El Payment Card Industry PIN Security (PCI PIN) es el estándar de seguridad que define el conjunto de requerimientos para gestionar, procesar y transmitir los datos del número de identificación personal (PIN) durante las transacciones o pagos.
En este sentido, la PCI PIN garantiza la protección de los números de identificación personal (PIN) durante el procesamiento de pagos con tarjeta. Ahora bien, ¿están obligadas las empresas a disponer de este estándar?
¿Es obligatorio seguir el estándar PCI PIN?
El estándar de seguridad PCI PIN aplica a diferentes entidades como bancos, procesadores de pagos y proveedores de servicios que manejan el PIN en las transacciones con tarjetas.
Entre los proveedores de servicios sujetos a esta normativa están aquellos que realizan actividades como adquirir, procesar, almacenar o transmitir transacciones de pago basadas en PIN; así como aquellos que brindan servicios de gestión de cifrado asociados con pagos basados en PIN, como las Instalaciones de Inyección de Claves (KIFs) y las autoridades de certificación y registro (CAs y RAs).
De hecho, otras entidades pueden estar incluidas dentro del alcance de la PCI PIN si así lo indica una marca de pago participante.
Las empresas que auditan su PCI PIN proyectan una mayor confianza de cara a los consumidores
El estándar PCI PIN garantiza la seguridad de los pagos con tarjeta online y offline en cajeros automáticos, pero también en terminales de puntos de venta (POS) atendidos y no atendidos.
Por este motivo, aquellas empresas que optan por auditar la operativa de su sistema de recogida de datos PIN e implementar este estándar logran llevar la seguridad de sus transacciones al siguiente nivel. Además, proyectan una mayor confianza y profesionalidad de cara a los consumidores.Las auditorías PCI PIN ayudan a incrementar el grado de competitividad en el mercado frente a otras empresas que no disponen de un sistema de control avanzado de esta normativa, ni pueden garantizar su cumplimiento.
En la actualidad, solamente existen 80 compañías de ciberseguridad en el mundo certificadas como Qualified PIN Assessor (QPA) Companies por el PCI Security Standards Council. A2SECURE es una de las pocas empresas que pueden llevar a cabo auditorías PCI PIN.
¿Te gustaría fortalecer sus protocolos de seguridad y cumplir con las rigurosas normas internacionales de protección de datos PIN? Escríbenos para conocer cómo funciona nuestra auditoría PCI PIN y los beneficios que comportará para tu organización.