Omar Cruz, Consulting Manager Latam de Nordstern Cybersecurity Services, nos cuenta en qué nivel de avance se encuentra PCI DSS en las empresas de Latam. Sigue leyendo este artículo para conocer más detalles.
Aunque la norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS) tiene casi 17 años, sigue siendo pertinente y necesaria para proteger los datos de los titulares de tarjetas de pago. Una vez más, en 2018, vimos la divulgación pública generalizada de violaciones masivas de datos que afectaron a minoristas, hoteles, aerolíneas y otros comerciantes que aceptan tarjetas de pago. Esos incidentes volvieron a poner en el punto de mira a las empresas que almacenan o procesan datos de titulares de tarjetas para que evalúen si cumplen con las normas de cumplimiento exigidas por el PCI Security Standards Council.
Podría decirse que las empresas no pueden permitirse el lujo de no aplicar controles de seguridad sólidos cuando manejan datos de titulares de tarjetas. Además, los recientes ciberataques han hecho que las empresas sean más conscientes que nunca de los peligros del incumplimiento. Sin embargo, la adopción del PCI DSS ha sido lenta entre las empresas de América Latina y a niveles generales se encuentra en fase de "Implantación", el período más intenso en el proceso de Adecuación a PCI DSS y el cual abarca las actividades del Programa de Cumplimiento que exigen los requerimientos PCI DSS.
En esta fase, se desarrollaran aquellas actividades consultoras, técnicas y organizativas pertinentes para poder superar una auditoría o validación de cumplimiento posterior.
Latinoamérica es considerada una de las zonas con más fraudes en tarjetas de pago, problema que se agravó con el aumento de sitios de comercio electrónico y la digitalización. Se estima que el último año (2021), los fraudes aumentaron un 70% en la región y el impacto económico estimado fue de 32 millones de dólares, según el Nilson Report 2021.
México, Brasil y Puerto Rico son los países con más alto índice en robo y venta de datos de tarjetas bancarias.
La tendencia apunta a que esta creciente necesidad de cumplimiento de PCI DSS seguirá en aumento, así como la adopción de pagos digitales por parte de los consumidores. La industria de pagos está transformando su infraestructura y por ello es primordial adaptarse a los cambios y estar al día en cuanto a seguridad, para poder competir de manera eficiente.
¿Por qué la adopción de PCI DSS es más lenta en América Latina?
Una de las principales razones por las que el cumplimiento de PCI DSS ha sido más lento en América Latina que en otras partes del mundo es que la región carece de una autoridad de cumplimiento y estandarización centralizada. En países como Estados Unidos, las organizaciones tienen una autoridad clara de gobierno y auditoría a la que pueden recurrir para obtener orientación sobre la certificación PCI DSS. Por ejemplo, el Consejo de Normas de Seguridad de la Industria de la Tarjeta de Pago (PCI SSC) de Estados Unidos es la organización responsable de desarrollar y administrar la PCI DSS a nivel mundial. En América Latina hay actualmente 35 países, cada uno con sus propios organismos de regulación y cumplimiento. Así, por ejemplo, en Brasil hay dos autoridades de cumplimiento que regulan la seguridad de las tarjetas de pago. En México, la regulación está dirigida por la Comisión Nacional Bancaria y de Valores (CNBV). En Argentina, existe la Comisión Nacional de Valores (CNASE).
¿Dónde está la adopción de PCI DSS hoy en día?
La buena noticia es que la certificación PCI DSS va en aumento en América Latina. De hecho, según el Informe de Cumplimiento PCI 2018, la adopción de PCI DSS aumentó aproximadamente un 15% en el último año. El informe también muestra que la adopción en América Latina es mayor que en otras regiones. En abril de 2018, aproximadamente el 17% de los comerciantes en América Latina cumplían con PCI DSS, en comparación con el 14% en América del Norte y el 11% en Asia Pacífico. El informe también afirma que aproximadamente el 20% de las organizaciones en América Latina están en proceso de cumplir con PCI DSS, mientras que en Asia Pacífico y América del Norte solo se registró el 15% y el 10%, respectivamente. Curiosamente, el informe también muestra que las organizaciones más grandes tienen más probabilidades de cumplir con la certificación PCI DSS que las más pequeñas. Más del 20% de las organizaciones con más de 10.000 empleados cumplen la norma PCI DSS. En comparación, sólo el 15% de las organizaciones con menos de 1.000 empleados cumplen la norma PCI DSS.
¿Qué sectores tienen actualmente la mayor adopción?
Como ocurre con muchas tendencias en el ámbito de la seguridad de los datos, la seguridad de las tarjetas de pago está impulsada por el comercio electrónico en línea, especialmente a escala mundial. Como tal, los minoristas en línea han sido los pioneros en lo que respecta al cumplimiento del PCI DSS. A nivel mundial, el 54% de los comerciantes electrónicos cumplen con el estándar PCI DSS. En América Latina, la certificación PCI DSS es mucho mayor entre los comerciantes electrónicos que para las organizaciones en general. Aproximadamente el 70% de los comerciantes electrónicos de América Latina cumplen con el PCI DSS.
¿Qué sectores tienen una menor adopción?
Como sugieren las estadísticas anteriores, hay algunos sectores que actualmente tienen una menor adopción de PCI DSS, en particular los sectores de la hostelería y los viajes. En todo el mundo, sólo el 10% de los hoteles y otras empresas relacionadas con los viajes cumplen con la certificación PCI DSS. En América Latina, los hoteles y las empresas relacionadas con los viajes tienen aún menos probabilidades de cumplir con la normativa PCI DSS, con una adopción de sólo el 6%.
¿Qué impulsará un mayor cumplimiento en el futuro?
Los datos muestran que la adopción de PCI DSS está creciendo en América Latina, pero todavía hay más trabajo por hacer. Hay varios factores que podrían ayudar a impulsar una mayor adopción en el futuro.
Conclusión
Con más de una década de experiencia, el estándar PCI DSS ha superado la prueba del tiempo y ha demostrado ser una forma eficaz de proteger los datos de las tarjetas de pago. Aunque la certificación PCI DSS ha sido más lenta en América Latina que en otras regiones, parece estar en aumento. Hay varios factores que podrían ayudar a impulsar una mayor adopción en el futuro. En general, la PCI DSS sigue siendo relevante y necesaria para proteger los datos de los titulares de las tarjetas de pago.
Nordstern Cybersecurity Services cuenta con los procesos de consultoría, auditoría y certificación PCI DSS a través de herramientas automatizadas que generan autoevaluaciones más rápidas con el objetivo de reconocer los requerimientos de la empresa que desee lograr la certificación PCI DSS y es una de las pocas entidades certificadoras en Latam.
