Con la incidencia cada vez mayor de las amenazas a los datos de los consumidores, y el número creciente de requerimientos para proteger dichos datos, las empresas deben centrarse en su infraestructura de seguridad. Uno de esos requerimientos es precisamente PCI DSS, el estándar que establece un conjunto de medidas destinadas a proteger la información asociada a pagos con tarjeta: no sólo la información de los titulares y el número de tarjeta sino también la información sensible de autenticación (banda magnética, pin y código de validación).

El próximo 30 de septiembre, cualquier entidad que participe en el procesamiento, transmisión o almacenamiento de información de tarjetas de crédito tiene que cumplir dicho estándar, es decir, debe disponer de los sistemas necesarios para encriptar las comunicaciones, bases de datos, ficheros y mainframes que manejan tarjetas de crédito. La gran pregunta es qué ocurre si las empresas no cumplen con esta norma a partir de dicha fecha.

En Estados Unidos, desde la promulgación de las leyes sobre violación de datos, se han registrado 350 millones de infracciones de este tipo. Y, a pesar de que estas cifras son similares en Europa, sin una ley que lo regule, resulta difícil de rastrear. Según señala Forrester, "el cumplimiento de las normas PCI no ha progresado mucho desde 2007 hasta 2009: el nivel de compromiso sólo ha pasado del 46% al 51% entre las grandes empresas, y del 35% al 47% entre las pymes".

Con el fin de elevar el nivel de conciencia de las empresas para que cumplan con la normativa PCI, debemos centrar su atención en los beneficios del cumplimiento de la normativa. El más obvio es la reputación: ¿qué pasa si su empresa es la única que ha sufrido un fallo de seguridad? ¿Y si tiene que vivir con el estigma de la empresa que perdió miles de números de tarjetas de crédito? Cumplir con la norma PCI puede ayudarles a fomentar la confianza de sus clientes, garantizando la protección de datos.

Pero, ¿qué hay de las consecuencias del no cumplimiento? A pesar del vacío legal, a partir del 30 de septiembre las empresas que no cumplan con el estándar se pueden ver afectadas por multas económicas o responsabilidad por las pérdidas incurridas como resultado de números de cuentas robados. No se trata solamente de cumplir la ley, ni de proteger a los clientes, sino que este tipo de fallos de seguridad puede afectar de manera fulminante a la credibilidad de la empresa en cuestión.

Alexandre Bento. Regional manager data protection de SafeNet España