Administración de Riesgo

Transcripción

1 Administración de Riesgo PCI DSS (Payment Card Industry Data Security Standard) Qué significa este estándar internacional y por qué su organización podría estar en riesgo de no cumplirlo?. La importancia de PCI DSS y por qué su organización debe cumplir con este estándar que data de 2004, son abordados en esta nueva entrega de Punto de Vista. En este punto de vista PCI DSS y por qué puede afectar a su organización 2 RISCCO Punto de vista

2 PCI DSS y por qué puede afectar a su organización El PCI DSS (Payment Card Industry Data Security Standard ) fue creado en 2004 por Visa Card, MasterCard, American Express, JCB y Discover para ayudar a las organizaciones que procesan pagos con tarjetas a establecer controles y buenas prácticas de seguridad de información para prevenir el creciente fraude con tarjetas de crédito/débito. El 28 de Octubre de 2010 fue liberada la nueva versión PCI DSS 2.0, la cual clarifica el significado de algunos requerimientos de la versión anterior. Con base a ella, hemos elaborado, una lista de seis preguntas que lo ayudarán a comprender por qué muy probablemente su organización deba cumplir con este estándar y cuáles podrían ser las implicaciones de no hacerlo. 1. Qué es el estándar internacional PCI DSS? 2. Debe nuestra organización cumplir con PCI DSS? 3. Cuáles requerimientos debo cumplir? 4. Necesito cumplir con PCI DSS si actualmente el proceso de tarjeta de crédito lo tengo tercerizado con otra compañía? 5. Por qué debo cumplir con PCI DSS si en Panamá no existen leyes de Privacidad y Protección de Datos? 6. Qué ocurre si no cumplo con PCI DSS? 1. Qué es el estándar internacional PCI DSS? Fue creado en 2004 por Visa Card, MasterCard, American Express, JCB y Discover para ayudar a las organizaciones a proteger a sus clientes del creciente delito de robo de identidad y que se realicen fraudes con las tarjetas de crédito. PCI DSS incluye doce requerimientos que persiguen que las organizaciones adopten buenas prácticas de seguridad de información para proteger los datos sensitivos de los clientes, como por ejemplo: nombre; número de tarjeta (PAN siglas del Inglés Primary Account Number); fecha de vencimiento; datos de la banda magnética. RISCCO Punto de vista

3 2. Debe nuestra organización cumplir con PCI DSS? PCI DSS aplica a cualquier organización que almacene, transmita o procese datos relacionados con tarjetas de crédito. Tenga presente que se incluye cualquier medio en que los datos se encuentren, es decir, desde un USB, disco fijo o inclusive el papel impreso de una transacción realizada comúnmente en un comercio. 3. Cuáles requerimientos debo cumplir? PCI DSS incluye doce requerimientos y aproximadamente doscientos sub-requerimientos orientados a la creación de políticas, procedimientos y procesos de seguridad de información. Para ciertos requerimientos se necesitará software y hardware de seguridad para cumplirlo. 4. Necesito cumplir con PCI DSS si actualmente el proceso de tarjeta de crédito lo tengo tercerizado con otra compañía? Es correcto que tener tercerizado este proceso ayuda, pero es su responsabilidad asegurarse de que el o los proveedores de servicio cumplen con la norma. Existen aplicaciones para el procesamiento de pago que son PCI DSS Certified. Ahora, la aplicación es solo un elemento más de todos los requerimientos que hay que cumplir con el estándar. Tenga presente que legalmente su organización no evade la responsabilidad de una fuga de información si la misma ocurre en uno de tales proveedores. 5. Por qué debo cumplir con PCI DSS si en Panamá no existen leyes de Privacidad y Protección de Datos? Indistintamente, existan o no regulaciones locales, su organización debe cumplir con PCI DSS. Es casi un obligación impuesta por las marcas emisoras de tarjetas. Para su información existen diversas leyes y acuerdos bancarios en Panamá que tipifican, claramente, la responsabilidad de las organizaciones en proteger la confidencialidad de los datos sensitivos RISCCO Punto de vista 3

4 de los clientes. Sólo por mencionar algunas están: Acuerdos No. 1 de 2007 y No. 5 de 2003, de la Superintendencia de Bancos; artículos No. 85 y 138-G de la Ley Bancaria de 2008; Ley No. 6 de 2002 que regula aspectos de transparencia en el sector público; Ley No. 51 de 2008 que regula aspectos de firmas electrónicas; Ley No. 81 de 2009 que regula aspectos de tarjetas de financiamiento. 6. Qué ocurre si no cumplo con PCI DSS? Pude ser demandado legalmente por usuarios afectados por el uso fraudulento de sus tarjetas de crédito ante un eventual robo de la base de datos de sus clientes de tarjetas de crédito. Además, Visa o cualquiera otra de tales compañías, podría imponer multas a las Entidades Financieras y revocar el derecho a utilizar su marca. A los comercios que no cumplan con el estándar, podrían sencillamente no estar en la capacidad de aceptar pagos por los bienes o servicios que ofrecen. En caso de que no encuentre respuesta a cualquier duda o interrogante que tenga sobre PCI DSS, por favor contáctenos a info@riscco.com * * * RISCCO Punto de vista 4

5 Independencia. Integridad. Conocimiento. Credibilidad. RISCCO es una compañía independiente dedicada de manera exclusiva a la consultoría en riesgo, negocios, fiscal, tributaria y auditoría interna. Para mayor información sobre el contenido de este documento o conocer más sobre la forma cómo estamos ayudando a las organizaciones a enfrentar sus desafíos en materia de administración de riesgo, riesgos de tecnología, riesgos fiscales o auditoría interna, por favor contáctenos. info@riscco.com Teléfono: RISCCO Ave. Ricardo J. Alfaro Panamá, Rep. de Panamá RISCCO. Todos los derechos reservados. RISCCO y su logo son una marca registrada de RISCCO, S. de R. L. RISCCO no está registrada ni licenciada como una firma de contadores públicos y no emite opinión sobre estados financieros u ofrece servicios de atestación.