[HACK] VISA (y el resto) dice basta a los robos de tarjetas en la red

merce illadeltresor at gmail.com
Wed Nov 28 17:26:25 CET 2007


13/11/07 13:34:48


VISA DICE BASTA A LOS ROBOS DE TARJETAS EN LA RED

Las principales firmas de tarjetas de pago exigen unos mínimos de
seguridad al comercio electrónico


Mercè Molist
El comercio electrónico está viviendo una carrera que ríase usted de
la adaptación al año 2000. Bancos, tiendas y pasarelas que almacenan
datos bancarios deberán cumplir antes de 2008 un nuevo estándar de
seguridad, dictado por las principales firmas de tarjetas de pago.
En caso contrario, no podrán usar estas plataformas para
comercializar sus productos.

La razón de esta medida radica en una práctica común pero peligrosa
del comercio electrónico, explica Simon Perry, vicepresidente de
Gestión de Seguridad de Computer Associates: "Cuando compras con
tarjeta en Internet, la tienda guarda tus datos para que la próxima
vez no tenga que pedírtelos y sea más fácil para tí. El problema es
que así se crean bases de datos con información de cientos de miles
de tarjetas, muy apetecibles para los delincuentes".

Los robos de estas bases de datos han sido una práctica habitual en
los últimos años y un secreto a voces que las empresas se han negado
a publicitar. Esto cambió en 2005, cuando el estado norteamericano
de California aprobó la "Ley de Información de Brechas de
Seguridad", que obligaba a notificar a los clientes los robos de
información personal.

Con la ley, aumentaron exponencialmente las noticias sobre
compromisos de bases de datos y también la desconfianza de los
consumidores, explica Simon Perry: "A la gente le preocupa cada vez
más la seguridad a la hora de comprar en Internet y esto se ha
convertido en un importante problema empresarial que justo ahora las
compañías empiezan a reconocer".

Diversas encuestas realizadas por Computer Associates confirman esta
sensación, también en Europa, explica Perry: "Las decisiones de
compra electrónica de los consumidores más educados y que gastan más
se basan sobre todo en la confianza en que el sitio sabrá guardar
sus datos bancarios, convirtiéndose así en uno de los principales
motivos de compra".

Conocedoras de esta situación, las principales entidades de tarjetas
de pago, American Express, Visa, MasterCard, Discover Financial
Services y JCB, han creado el Estándar de Seguridad de los Datos de
la Industria de Pago con Tarjeta (PCI DSS son sus siglas en inglés),
de obligado cumplimiento a partir de 2008.

El estándar establece unas normas básicas para este tipo de bases de
datos: además de las medidas habituales como usar antivirus,
cortafuegos e instalar parches de seguridad, los datos deben ser
cifrados y los accesos a la máquina, controlados y grabados, de
forma que todos los que la usen estén claramente identificados.

Las penalizaciones por no homologarse van desde multas hasta la
retirada del permiso para usar estas tarjetas de pago. Muchas
empresas han esperado hasta el último momento, lo que ha provocado
que desde las grandes consultoras internacionales hasta las pequeñas
estén trabajando a destajo en ponerlas a punto para el nuevo estándar.

Aunque la medida no afecta sólo al comercio por Internet sino a
cualquier compañía que almacene datos bancarios en formato
electrónico, está especialmente dirigida a aumentar la seguridad del
primero. Algo muy necesario, según Perry: "De las muchas empresas
que he auditado, todas tenían algo que arreglar, a pesar de que las
medidas que requiere el estándar son de seguridad muy básica".

Pero, para este ejecutivo, "lo que pone los pelos de punta es que en
Europa no haya una ley que obligue a las empresas a informar de
estos robos. Aunque se ha pedido y discutido a nivel de Comisión
Europea, sigue sin haber nada porque a las compañías les preocupa la
pérdida de reputación. Mi opinión es: dejen de discutir y háganlo".




PCI Security Standards Council
https://www.pcisecuritystandards.org

Computer Associates
http://ca.com/es



Copyright 2007 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital and no commercial medium,
provide this notice is preserved.






More information about the hacking mailing list