La importancia de la Seguridad de las Tarjetas de Pago

Una Tarjeta de Pago ya sea de Crédito o Débito que ofrecen los Bancos, debe ofrecer principalmente “Seguridad” al Tarjetahabiente1, es decir, se debe garantizar que solo el dueño de la tarjeta pueda utilizar sus ahorros o créditos asignados por su Banco. Caso contrario, el “dinero en efectivo” que es el principal sustituto de una Tarjeta de Pago puede resultar más confiable.

Existen muchos casos de fraudes con Tarjetas de Pago, publicados en diversos medios y que a la fecha es una permanente preocupación de los Tarjetahabientes. Últimamente podemos destacar varios robos masivos de Datos de Tarjetas2 generados por redes organizadas de defraudadores.

Por este motivo, para brindar seguridad al Tarjetahabiente, se deben proteger los procesos relacionados con las Tarjetas de Pago, es decir, cuando almacenan, transmiten y/o procesan los Datos de las Tarjetas de Pago, como por ejemplo: autorización, compensación, liquidación, embozado, transacciones POS / ATM, cajero corresponsal, entre otros.

La Gestión del Riesgo sobre los procesos, puede ser implementada mediante las mejores prácticas de Riesgo Operacional3. Como parte de esta Gestión, se debería identificar como uno de los riesgos el “robo o compromiso de los Datos de Tarjetas” para estimar las potenciales pérdidas económicas que puede ocasionar dicho riesgo, como los fraudes, sanciones, multas, demandas, reposición de tarjetas, pérdida de clientes, entre otros. La Gestión de la Prevención del Fraude, presente en las entidades bancarias, generalmente enfocan sus esfuerzos en el monitoreo de las transacciones a fin de detectar operaciones fraudulentas para evitarlas; sin embargo, en la mayoría de los casos dicha gestión NO lidera la seguridad de los Datos de Tarjetas que a la fecha es la principal fuente de los fraudes.

La Gestión de Seguridad de la Información que debe estar alineada con la Gestión del Riesgo Operacional y la Prevención del Fraude, tendrá mejores argumentos para priorizar la protección de los Datos de Tarjetas, ya que será considerado como uno de los activos críticos para sostener el negocio y deberán focalizarse en su confidencialidad.

En el Perú, la SBS4 ha establecido requerimientos de cumplimiento para la protección de los Datos de Tarjetas, en el Artículo 18 de la resolución SBS Nº 6523–2013. Y a nivel global, las principales marcas internacionales de Tarjetas de Pago exigen el cumplimiento de PCI DSS (Payment Card Industry – Data Security Standard), con el principal objetivo de prevenir el fraude. Estos requerimientos de seguridad deben considerarse como básicos y no debería ser una complejidad implementarlo en los Bancos, más aun cuando la Gestión de Seguridad de la Información se viene efectuando hace muchos años.

Por otro lado, cabe aclarar que la migración a CHIP/EMV no resuelve la seguridad de los Datos de Tarjetas; sin embargo, fortalece la prevención del fraude cuando se le agrega algún factor adicional de autenticación como el PIN, en las compras con presencia del Tarjetahabiente. Al respecto, existe el riesgo de que el fraude migre a otros canales transaccionales sin la presencia del Tarjetahabiente, como la venta por Internet (e-Commerce, Home Banking) y teléfono. En resumen, proteger los Datos de las Tarjetas de Pago considerando las mejores prácticas de seguridad, no solo permitirá cumplir con la SBS y los programas de las marcas de tarjetas, sino que principalmente permitirá que los procesos de negocios relacionados sean sostenibles en el tiempo y que se brinde realmente el valor que exige el cliente (Tarjetahabiente), que es la seguridad y confianza en el medio de pago que utilizamos.

1 Tarjetahabiente es el nombre que recibe el usuario de una tarjeta de crédito y débito. También se le llama Titulares de tarjetas según PCI DSS.
2 Datos de Tarjetas, nos referimos a los “datos de titulares de tarjetas” definidas por PCI DSS, que incluyen: Número de cuenta principal (PAN), Nombre del titular de la tarjeta, Fecha de vencimiento y Código de servicio.
3 Entiéndase por Riesgo Operacional a la posibilidad de ocurrencia de pérdidas debido a procesos inadecuados, fallas del personal, de la tecnología de información, o eventos externos. Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y de reputación. Resolución SBS. N° 2116 -2009.
4 La Superintendencia de Banca, Seguros y AFP es el organismo encargado de la regulación y supervisión de los Sistemas Financiero, de Seguros y del Sistema Privado de Pensiones, así como de prevenir y detectar el lavado de activos y financiamiento del terrorismo. Su objetivo primordial es preservar los intereses de los depositantes, de los asegurados y de los afiliados al SPP.

Written by

No Comments Yet.

Leave a Reply


CAPTCHA Image
Reload Image
-->