16 January, 2009
category: Identificación en campus, Pagos
Las universidades tienen que conocer los requisitos de seguridad establecidos para manejar los datos almacenados en tarjetas de pago
Las instituciones de educación superior deben estar conscientes de que determinadas áreas de sus redes informáticas necesitarán ser aseguradas, debido a los requisitos de la industria de tarjetas de pago. El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS, por sus siglas en inglés) es a veces ignorado por las instituciones, pero la Asociación Nacional de Usuarios de Tarjetas de Campus celebró dos conferencias para tratar algunos de estos temas.
El PCI DSS se refiere a cualquier entidad que acepte tarjetas de crédito o débito y cómo esa información es almacenada y transmitida. Si las organizaciones no protegen la información contenida en las tarjetas de pago y ocurre una brecha, puede que reciban multas de las asociaciones de tarjetas, aclara Ashley Swing, director de cumplimiento y seguridad de la información en la University of Alabama. Sólo en 2006, Visa emitió multas a comerciantes por un total de $4.4 millones en todas las industrias.
Las multas provenientes de las asociaciones de tarjetas de pago no son el único costo asociado a las brechas en la seguridad de los datos, afirma Swing. El promedio de una brecha grande en la educación superior es de entre 5,000 y 50,000 cuentas. Una brecha pequeña puede tener un costo inicial de $1 millón, pero el costo promedio es de $182 por cada cuenta. Esto incluye el costo de notificar a los afectados, pagar por la revisión del crédito y cargos no autorizados. “También está el costo adicional de una publicidad no favorable y un daño significativo a la reputación de la entidad”, alega.
Las instituciones educativas parecen ser particularmente vulnerables a algunas de estas brechas. Un 33% de las brechas de seguridad fueron en instituciones educativas, agrega Ewing. “Hay muchos mas comercios que instituciones educativas. Tenemos un índice de brechas desproporcionado”, dice.
Él estima que la PCI tiene muchas maneras de impactar un campus. Cualquier persona o sistema que trabaje con tarjetas de pago tiene que saber cómo manejar la información. Por lo tanto, no sólo tienen que asegurarse los puntos de venta en las cafeterías, el individuo que recauda donaciones de los alumnos por teléfono también tiene que saber cómo manejar de manera segura los datos de la tarjeta de pago. “Todo aquel que acepta tarjetas de crédito a nombre de la institución es afectado por la PCI”, expresa.
En dependencia del tipo de identificación que emite el campus, ésta también cae en el terreno de la PCI, afirma Joel Weidner, director de sistemas de información para servicios comerciales y auxiliares de Penn State. Si la tarjeta tiene un logo de MasterCard o Visa tiene que cumplir con los estándares PCI. Si una identificación de campus está vinculada a una cuenta bancaria pero se necesita un PIN, las regulaciones son diferentes y no es afectada por la PCI.
Sin embargo, aún en el caso de que no lo sea, la PCI puede afectar áreas donde se utiliza la identificación del estudiante, añade Weidner. Si una terminal de punto de venta acepta lo mismo la identificación del estudiante y las tarjetas de crédito y débito, entonces se tienen que cumplir las regulaciones de la PCI. “La comprensión de tu entorno es esencial para el cumplimiento”, explica. “Las entidades necesitan entender qué partes de la infraestructura tienen que ser protegidas”.
Incluso si subcontratan todo el procesamiento de sus tarjetas, las entidades tienen que garantizar que los vendedores cumplan con las regulaciones de la PCI, si no lo hacen, serían consideradas responsables, alega Swing.
Las instituciones que le permiten a los estudiantes usar identificaciones en comercios fuera del campus tienen también que revisar la conformidad, agrega. En ese caso, los vendedores deben ser cuestionados sobre cómo manejan la información contenida en las tarjetas de pago para garantizar que cumplen con los estándares de seguridad. De otra forma, la universidad puede considerarse responsable si ocurre una brecha.