Las tarjetas de pago exigen m¨¢s seguridad a la venta electr¨®nica

El comercio electr¨®nico est¨¢ viviendo una carrera de adaptaci¨®n similar al cambio de moneda en 2000. Bancos, tiendas y pasarelas que almacenan datos bancarios deben cumplir antes del 1 de enero un nuevo est¨¢ndar de seguridad, dictado por las principales firmas de tarjetas de pago. En caso contrario, no podr¨¢n usar estas plataformas para comercializar sus productos.

La raz¨®n de esta medida radica en una pr¨¢ctica com¨²n, pero peligrosa, del comercio electr¨®nico, explica Simon Perry, vicepresidente de Gesti¨®n de Seguridad de Computer Associates (CA): "Cuando compras con tarjeta en Internet, la tienda guarda tus datos para que la pr¨®xima vez no tenga que ped¨ªrtelos y sea m¨¢s f¨¢cil para el cliente. El problema es que as¨ª se crean bases de datos con informaci¨®n de cientos de miles de tarjetas, muy apetecibles para los delincuentes".

Los robos de estas bases de datos han sido una pr¨¢ctica habitual en los ¨²ltimos a?os y un secreto a voces que las empresas se han negado a publicitar. Esto cambi¨® en 2005, cuando el Estado norteamericano de California aprob¨® la Ley de Informaci¨®n de Brechas de Seguridad, que obligaba a notificar a los clientes los robos de informaci¨®n personal.

Con la ley, aumentaron exponencialmente las noticias sobre compromisos de bases de datos y tambi¨¦n la desconfianza de los consumidores, explica Perry: "A la gente le preocupa cada vez m¨¢s la seguridad al comprar en Internet, y esto se ha convertido en un importante problema empresarial que ahora las compa?¨ªas empiezan a reconocer".

Diversas encuestas realizadas por CA confirman esta sensaci¨®n, tambi¨¦n en Europa, explica Perry: "Las decisiones de compra electr¨®nica de los consumidores m¨¢s educados y que gastan m¨¢s se basan sobre todo en la confianza en que el sitio sabr¨¢ guardar sus datos, convirti¨¦ndose as¨ª en uno de los principales motivos de compra".

Conocedoras de la situaci¨®n, las principales firmas de tarjetas de pago, como American Express, Visa, MasterCard, Discover Financial Services y JCB, han creado el Est¨¢ndar de Seguridad de los Datos de la Industria de Pago con Tarjeta (PCI DSS son sus siglas en ingl¨¦s), de obligado cumplimiento en 2008.

Normas b¨¢sicas

El est¨¢ndar establece normas b¨¢sicas para estas bases de datos bancarios: adem¨¢s de los habituales antivirus, cortafuegos y parches de seguridad, los datos deben ser cifrados y los accesos a la m¨¢quina, controlados y grabados, para que los que la usen est¨¦n claramente identificados.

Las penalizaciones por no homologarse van desde multas hasta la retirada del permiso para usar estas tarjetas de pago. Muchas empresas han esperado hasta el ¨²ltimo momento, lo que ha hecho que desde las grandes consultoras internacionales hasta las peque?as est¨¦n trabajando a destajo en ponerlas a punto.

Aunque la medida no afecta s¨®lo al comercio por Internet sino a cualquier compa?¨ªa que almacene datos bancarios en formato electr¨®nico, est¨¢ especialmente dirigida a aumentar la seguridad del primero. Algo muy necesario, seg¨²n Perry: "De las muchas empresas que he auditado, todas ten¨ªan algo que arreglar, a pesar de que las medidas que requiere el est¨¢ndar son de seguridad muy b¨¢sica".

Para este ejecutivo, "lo que pone los pelos de punta es que en Europa no haya una ley que obligue a las empresas a informar de estos robos. Aunque se ha pedido y discutido en la Comisi¨®n Europea, sigue sin haber nada porque a las compa?¨ªas les preocupa la p¨¦rdida de reputaci¨®n. Mi opini¨®n es: dejen de discutir y h¨¢ganlo".

PCI SECURITY STANDARDS COUNCIL: www.pcisecuritystandards.org COMPUTER ASSOCIATES: http://ca.com/es