¡Por fin decidieron implementar PCI-DSS!, ya sea por exigencia de un ente regulador o por convicción y responsabilidad propia, y es justo en este momento cuando se tienen que tomar decisiones importantes: ¿con qué QSA trabajar? y ¿quién será el líder de implementación?.

Es precisamente esta última pregunta la que más tardamos en responder, porque de ellas se desprenden otras tantas incertidumbres al interior de la empresa, provocando ese momento incomodo en el que todos se miran buscando en quien recaerá la responsabilidad.

Es de resaltar que la norma no exige tener una persona como líder del proyecto a menos de que seas un proveedor de servicio (req. 12.4.1 a partir del 31/07/2018) o una entidad designada (según el anexo A3 – A3.1.1). Para los demás comercios es solo una recomendación que será de gran ayuda para el proceso.

Los siguientes “tips” son básicos para que la alta dirección pueda designar a la persona o el equipo responsable de la implementación de PCI-DSS en la compañía:

  1. Elija a alguien que entienda los términos técnicos, no tendrá que ser ingeniero especializado, pero si alguien que haya tenido relación en sus estudios o experiencia con la tecnología.
  2. La persona encargada de PCI debe tener relación con todas las áreas. Elija alguien que se le facilite hablar, motivar y generar sinergia con los miembros de la organización.
  3. Déle las herramientas necesarias para trabajar. Nadie puede hacer bien su trabajo sin contar con los insumos para hacerlo.
  4. Capacítelo. PCI-DSS no es ciencia aeroespacial, pero requiere conocimientos que se aprenden con acceso a capacitaciones. Algunas de las certificaciones apropiadas para el responsable de PCI tienen que ver con ISACA, el Consorcio Internacional de Certificación de Seguridad de Sistemas de Información (ISC)² y/o el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC).
  5. Este proceso toma tiempo. No presione a su líder PCI; dele independencia en el proceso y empodérelo de su rol.
  6. Apoye al líder en las iniciativas y transformaciones que exige la norma. Para el cumplimiento de PCI-DSS es necesario hacer cambios en la forma en como venimos ejecutando los procesos, apoye estas transformaciones, siempre bajo las condiciones de la norma
  7. Exija el cumplimiento de parte de todos los funcionarios de la organización.
  8. Involúcrese en el proceso y atienda los requerimientos de la norma. La gerencia cobra un papel muy importante en la última versión de la misma.
  9. Recuerde que PCI-DSS es un esfuerzo en conjunto, si bien va a responsabilizar una persona, esta deberá estar en posición para integrar a las demás. La recomendación es que sea alguien del área de TI, control interno, seguridad de la información o afines, con capacidad de convocar y dirigir.

Después de alcanzar el cumplimiento avalado por una QSA, continuamos con el proceso de mantener ese cumplimiento en el tiempo y es aquí donde cobra mucha importancia nuestro responsable PCI, pues él deberá enfocarse en las “BAU” o “Business as Usual”, como llama el PCI DSS a las tareas cotidianas que se deben hacer para tener el control durante todo el año en el estándar. Recuerde que la norma PCI-DSS se refrenda anualmente, así que de no cumplir con dichas tareas habituales podría perder el cumplimiento.

A continuación, enumeramos algunas de las actividades cotidianas para mantener dicho cumplimiento:

La última recomendación, pero no menos importante: cambie el “chip” de su compañía y convierta la seguridad en un diferenciador integrándolo a su cadena de valor, asegure sus ventas y proteja a sus clientes. PCI-DSS es un promotor de las ventas de forma segura.