RISCCO Punto de vista

Administración de Riesgo

PCI DSS (Payment Card Industry Data Security Standard)

¿Qué significa este estándar internacional y por qué su organización podría estar en riesgo de no cumplirlo?.

La importancia de PCI DSS y por qué su

organización debe cumplir con este estándar

que data de 2004, son abordados en esta

nueva entrega de Punto de Vista.

En este punto de vista PCI DSS y por qué puede afectar a su organización 2

RISCCO Punto de vista

PCI DSS y por qué puede afectar a su organización

El PCI DSS (Payment Card Industry Data Security Standard ) fue creado

en 2004 por Visa Card, MasterCard, American Express, JCB y Discover

para ayudar a las organizaciones que procesan pagos con tarjetas a

establecer controles y buenas prácticas de seguridad de información para

prevenir el creciente fraude con tarjetas de crédito/débito.

El 28 de Octubre de 2010 fue liberada la nueva versión PCI DSS 2.0, la

cual clarifica el significado de algunos requerimientos de la versión

anterior. Con base a ella, hemos elaborado, una lista de seis preguntas

que lo ayudarán a comprender por qué muy probablemente su

organización deba cumplir con este estándar y cuáles podrían ser las

implicaciones de no hacerlo.

1. ¿Qué es el estándar internacional PCI DSS?

2. ¿Debe nuestra organización cumplir con PCI DSS?

3. ¿Cuáles requerimientos debo cumplir?

4. ¿Necesito cumplir con PCI DSS si actualmente el proceso de tarjeta

de crédito lo tengo tercerizado con otra compañía?

5. ¿Por qué debo cumplir con PCI DSS si en Panamá no existen leyes de Privacidad y Protección de Datos?

6. ¿Qué ocurre si no cumplo con PCI DSS?

1. ¿Qué es el estándar internacional PCI DSS?

Fue creado en 2004 por Visa Card, MasterCard, American Express,

JCB y Discover para ayudar a las organizaciones a proteger a sus

clientes del creciente delito de robo de identidad y que se realicen

fraudes con las tarjetas de crédito.

PCI DSS incluye doce requerimientos que persiguen que las

organizaciones adopten buenas prácticas de seguridad de información

para proteger los datos sensitivos de los clientes, como por ejemplo:

nombre; número de tarjeta (PAN siglas del Inglés Primary Account

Number); fecha de vencimiento; datos de la banda magnética.

RISCCO Punto de vista 3

2. ¿Debe nuestra organización cumplir con PCI DSS? PCI DSS aplica a cualquier organización que almacene, transmita o

procese datos relacionados con tarjetas de crédito. Tenga presente

que se incluye cualquier medio en que los datos se encuentren, es

decir, desde un USB, disco fijo o inclusive el papel impreso de una

transacción realizada comúnmente en un comercio.

3. ¿Cuáles requerimientos debo cumplir? PCI DSS incluye doce requerimientos y aproximadamente doscientos

sub-requerimientos orientados a la creación de políticas,

procedimientos y procesos de seguridad de información. Para ciertos

requerimientos se necesitará software y hardware de seguridad para

cumplirlo.

4. ¿Necesito cumplir con PCI DSS si actualmente el proceso de tarjeta de crédito lo tengo tercerizado con otra compañía?

Es correcto que tener tercerizado este proceso ayuda, pero es su

responsabilidad asegurarse de que el o los proveedores de servicio

cumplen con la norma. Existen “aplicaciones” para el procesamiento

de pago que son “PCI DSS Certified”. Ahora, la aplicación es solo un

elemento más de todos los requerimientos que hay que cumplir con el

estándar.

Tenga presente que legalmente su organización no evade la

responsabilidad de una fuga de información si la misma ocurre en uno

de tales proveedores.

5. ¿Por qué debo cumplir con PCI DSS si en Panamá no existen leyes de Privacidad y Protección de Datos? Indistintamente, existan o no regulaciones locales, su organización

debe cumplir con PCI DSS. Es casi un obligación impuesta por las

marcas emisoras de tarjetas.

Para su información existen diversas leyes y acuerdos bancarios en

Panamá que tipifican, claramente, la responsabilidad de las

organizaciones en proteger la confidencialidad de los datos sensitivos

RISCCO Punto de vista 4

de los clientes. Sólo por mencionar algunas están: Acuerdos No. 1 de

2007 y No. 5 de 2003, de la Superintendencia de Bancos; artículos No.

85 y 138-G de la Ley Bancaria de 2008; Ley No. 6 de 2002 que regula

aspectos de transparencia en el sector público; Ley No. 51 de 2008

que regula aspectos de firmas electrónicas; Ley No. 81 de 2009 que

regula aspectos de tarjetas de financiamiento.

6. ¿Qué ocurre si no cumplo con PCI DSS? Pude ser demandado legalmente por usuarios afectados por el uso

fraudulento de sus tarjetas de crédito ante un eventual robo de la base

de datos de sus clientes de tarjetas de crédito. Además, Visa o

cualquiera otra de tales compañías, podría imponer multas a las

Entidades Financieras y revocar el derecho a utilizar su marca. A los

comercios que no cumplan con el estándar, podrían sencillamente no

estar en la capacidad de aceptar pagos por los bienes o servicios que

ofrecen.

En caso de que no encuentre respuesta a cualquier duda o interrogante

que tenga sobre PCI DSS, por favor contáctenos a info@riscco.com

* * *

© 2009-2010 RISCCO. Todos los derechos reservados. RISCCO y su logo son una marca registrada de RISCCO, S. de R. L. RISCCO no está registrada ni licenciada como una firma de contadores públicos y no emite opinión sobre estados financieros u ofrece servicios de atestación.

Independencia. Integridad. Conocimiento. Credibilidad. RISCCO es una compañía independiente dedicada de manera exclusiva a la consultoría en riesgo, negocios, fiscal, tributaria y auditoría interna. Para mayor información sobre el contenido de este documento o conocer más sobre la forma cómo estamos ayudando a las organizaciones a enfrentar sus desafíos en materia de administración de riesgo, riesgos de tecnología, riesgos fiscales o auditoría interna, por favor contáctenos. info@riscco.com Teléfono: +507 279-1410

RISCCO Ave. Ricardo J. Alfaro Panamá, Rep. de Panamá www.riscco.com