La multinacional Bull es una de las primeras consultoras TIC en ofrecer una solución que permite a las entidades financieras adaptar sus sistemas de medios de pago a la nueva norma PCI-DSS (Payment Card Industry Security Standards Council), que obliga a las organizaciones que procesan, almacenan y/o transmiten datos de titulares de tarjeta a asegurar la información para evitar los fraudes asociados a las tarjetas de pago. La normativa establece una serie de requisitos técnicos, operativos y de negocio desarrollados para proteger la información relativa a los titulares de tarjetas.
PCI-DSS obliga a proteger, entre otros, los datos almacenados del titular de la tarjeta, a cifrar la transmisión de estos datos en las redes públicas abiertas y al rastreo y supervisión de todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas. “Las plataformas de medios de pago actuales –explica Miguel Gil, Director de Banca de Bull- no cumplen esta normativa, que impacta en el intercambio de información con otras aplicaciones y entidades en las que aparece el PAN, en el almacenamiento de la información, en los ficheros en los que se trata esta información y en las interfaces con otras aplicaciones”. El NO cumplimiento de la normativa en Medios de Pago se podría propagar al resto de la entidad quedando TODA ella comprometida.
La normativa quiere acabar con el robo de información y el uso fraudulento de las tarjetas y mejorar el nivel de seguridad de los pagos, minimizando el riesgo ante posibles intrusiones. Asimismo, incrementa la confianza de los usuarios en las transacciones realizadas con tarjetas y permite luchar contra la suplantación y otros fraudes que se producen en Internet. Para ello, la normativa protege el PAN, Personal Account Number, y los datos asociados como la fecha de caducidad, el nombre del titular de la tarjeta, el código de servicio de la tarjeta y los datos de la banda magnética.
“Todo componente del “sistema” que almacene, transmita o procese datos de los titulares de tarjetas está obligado a su cumplimento, como comercios, proveedores de servicios y entidades adquirentes”, indica Miguel Gil. Estas últimas, además, tienen la responsabilidad de asegurar que sus comercios conocen la normativa, del seguimiento de su cumplimiento y de comunicar su estado.
La solución de Bull
La propuesta de Bull contempla los servicios de “tokenizado” y “ofuscamiento”/enmascaramiento:
- En el primero los datos que son confidenciales y necesarios se reemplazan con valores (tokens) del mismo tipo y tamaño, que hacen referencia a los datos confidenciales, que se cifran y almacenarán en el sistema de “tokenización”. Se completa con el mantenimiento de una tabla de pares con la información cifrada de modo seguro del PAN en claro y su correspondiente “tokenizado”, tanto para tarjetas propias como ajenas.
- En el servicio de “ofuscamiento” se hacen ilegibles los datos no necesarios, que se mostrarán al usuario y al resto de la instalación enmascarados, asegurando la integridad de las comunicaciones al no procesar información sensible.
