Audiencia ante el Congreso: PCI bajo fuego
27 April, 2009
category: Pagos
¿Está el Chip y PIN en el horizonte?
Las regulaciones de la Industria de Tarjetas de Pago (CPI, por sus siglas en inglés) son requisitos que los comerciantes minoristas tienen que cumplir para garantizar la seguridad de la información de las tarjetas de crédito y débito que pertenecen a los consumidores. Sin embargo, aún continúan las brechas en la seguridad de los datos de manera regular y muchos se preguntan si estas regulaciones realmente los protegen.
A finales de marzo, el Subcomité de Amenazas Emergentes, Seguridad Cibernética, y Ciencia y Tecnología del Comité de Seguridad Nacional de la Cámara de Representantes de Estados Unidos realizó una audiencia sobre el tema: “¿Reduce el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago los delitos cibernéticos?”
La preocupación es que los números robados de tarjetas de crédito están siendo usados para financiar terroristas. Rita M. Glavin, la Secretaria de Justicia Auxiliar Interina de la Division Criminal en el Departamento de Justicia de Estados Unidos, cita un caso en Indonesia.
Imam Samudra escribió, en su autobiografía de 280 páginas, sobre el uso del fraude a tarjetas de crédito y carding como medios para financiar actividades terroristas. Se le llama carding a la acción de robar un gran número de datos, revenderlos y usarlos para cometer fraudes. Samudra trató de financiar el atentado a los clubs de Bali en el 2002 – por el cual fue sentenciado – en parte mediante el fraude de tarjetas de crédito en línea.
El consenso al que llegaron los minoristas y sus representantes en la audiencia es que la PCI no los ayuda. “Desde sus inicios, la PCI ha estado plagada de trabajos mal realizados por parte de Visa, MasterCard y otros supervisores del programa”, alega Dave Hogan, vicepresidente ejecutivo y director de información de la Federación Nacional de Minoristas. “Las normas de la PCI son molestas, confusas y están cambiando constantemente. Muchos minoristas dicen que cumplir con las regulaciones básicas es como tratar de dispararle a un blanco en rápido movimiento.
Yvette D. Clarke, directora del subcomité (y demócrata por el estado de Nueva York), dijo que los estándares de la PCI cumplen un propósito. “Pero sí quiero hacer desaparecer el mito, de una vez y por todas, de que cumplir con la PCI es suficiente para mantener a una compañía segura”, añade.
Una posible solución para detener el fraude de tarjetas de crédito: introducir un PIN para verificar cada transacción. “La implementación de PINs codificados para todas las transacciones de tarjetas de crédito y débito pudiera ser útil”, afirma un reporte del subcomité.
Estados Unidos está totalmente rezagado cuando tenemos en cuenta las inversiones de seguridad que se realizan en otros países, y nuestro sistema de los años 50 nos está convirtiendo en un eslabón débil en la cadena de seguridad”, dice Clarke. “La tecnología basada en bandas magnéticas está ya fuera de moda y es inherentemente menos segura si se compara con las tarjetas inteligentes u otras tecnologías en desarrollo. Aunque estoy muy preocupada por nuestra seguridad, la industria de tarjetas de pago y los bancos emisores deberían avergonzarse del actual estado de la situación y hacer todo lo posible por establecer inmediatamente mejoras en la infraestructura”.
Michael Jones, vicepresidente ejecutivo y director de información de Michaels Stores Inc., testificó sobre su experiencia con los bancos y la PCI, sugiriendo que las regulaciones no fueron creadas teniendo en cuenta a los minoristas.
“La implementación es muy costosa, es muy complicado tratar de cumplirlas y, a la larga, son subjetivas en su interpretación y ejecución”, afirma Jones. “Muchas veces se dice que sólo hay doce ‘requisitos’ para cumplir con la PCI. En realidad, hay más de 220 subrequisitos; algunos de los cuales pueden ser una carga increíble para un minorista y muchos están sujetos a interpretación.
Jones tiene problemas con los estándares de codificación en PCI. El estándar establece que toda la información de las tarjetas de crédito debe estar codificada, con una excepción: no tiene que codificarse si los datos son enviados a través de una red privada.
Jones dice que ésta es una brecha que puede ser expuesta. “Las instituciones financieras de las compañías de tarjetas de crédito, que son las mismas organizaciones que crearon y exigen el cumplimiento de este estándar altamente complejo, no aceptan transacciones codificadas”, observa. “Tenemos que decodificar los números de las tarjetas en nuestras oficinas corporativas antes de enviarlas al banco para su aprobación”
Michaels ha querido codificar todas las transacciones pero se nos dijo que era demasiado caro de implementar y establecer un estándar industrial.
La brecha de datos que se produjo en TJX y Heartland Payment Systems puso en evidencia este problema, dice Jones. “Si la información hubiera estado codificada seguro no hubieran podido leerla”.
Las regulaciones de la PCI no son malas y los datos de las tarjetas de crédito están ahora más seguros que antes. Pero Jones le pide al subcomité no aprobar más legislaciones relacionadas con el tema. “No necesitamos más leyes”, agrega. “La ejecución (a veces) errónea que ya existe y la proliferación de regulaciones estatales han creado un ambiente difícil, sino imposible, para que los minoristas cumplan apropiadamente con los requisitos legales impuestos si ocurriera una brecha de seguridad”.
En cambio, Jones dice que las compañías de tarjetas de crédito necesitan responsabilizarse y proteger más los sistemas que ya están en funcionamiento.