Y, ¿si pensamos en PCI-DSS no como un gasto sino más bien como una inversión?

PCI-DSS no es una norma sencilla. La mayoría de empresas toman la decisión de entrar en cumplimiento de la norma por exigencia de su banco adquirente o por alguno de sus clientes, pero, ¿conocemos la verdadera importancia de cumplir con esta norma?

¿Dejaría la puerta de su casa abierta mientras sale? La mayoría, sin dudarlo, respondería que no. Entonces ¿cómo deja puertas abiertas dentro de su negocio para que un atacante pueda entrar?

Estas preguntas cuestionan la manera en la que hoy trabajamos, en donde los encargados de la seguridad tienen el reto de llevar estos beneficios a sus directivos y sobretodo mostrarles de manera tangible que la seguridad no es solo un gasto.

Las tarjetas de pago se convirtieron en el mejor amigo a la hora de comprar y muchas empresas se han beneficiado de esto: las pasarelas de pago y las empresas desarrolladoras de páginas o carritos de compra también han entrado en la ecuación del comercio electrónico. Muchas de ellas teniendo en cuenta desde el principio que la seguridad de los datos de los clientes es lo más importante.

La seguridad de los datos de las personas que compran en su compañía, además del servicio, cobra mucha importancia. Estos factores hablarán reputacionalmente de su marca y sus clientes tendrán en cuenta esto a la hora de comprar y comparar su página con la de su competencia.

Teniendo en cuenta que la norma PCI-DSS es tan exigente, estos pueden ser algunos de los beneficios que desde la óptica gerencial se deberían tener en cuenta para entrar en cumplimiento de la misma:

  • Los clientes notaran que su empresa está al tanto de normas internacionales: esto lo hará ver como una empresa globalizada con garantías para expandirse.
  • Sus clientes recomendarán comprar en su comercio: una buena experiencia de compra hace que los clientes regresen, sobretodo si tienen la confianza de que su información confidencial está segura.
  • Facilitará la detección temprana de brechas de seguridad: tener los controles de PCI-DSS implementados permitirá que detecte posibles brechas antes de que se conviertan en incidentes graves de seguridad.
  • Evitará incidentes relacionados con datos de sus clientes: aunque PCI-DSS no garantiza seguridad completa – como ninguna norma lo hace – sí que reduce la probabilidad de que los datos de sus clientes se vean implicados en incidentes de seguridad que por lo menos que afecten a su empresa.
  • Tendrá trazabilidad en tiempo real de sus dispositivos y usuarios internos: implementando los controles de PCI DSS tendrá la posibilidad de tener el seguimiento de los dispositivos más críticos de la compañía incluyendo sus funcionarios, los cuales tienen en sus manos el activo más importante de la compañía: la información.
  • Podrá certificarse en otras disposiciones de seguridad: por su número de controles y su exigencia en los mismos, PCI-DSS ocupa los primeros puestos en normativas más completas en temas de seguridad de la información. Por ello, si su empresa está certificada en el cumplimiento de PCI-DSS, puede pensar en certificarse en otras normas que serán más sencillas, dado que los controles pueden ser parecidos, como es el caso de ISO/IEC 27001.
  • Puede darle garantía a sus clientes de que trabaja con estándares internacionales que protegen su información: dentro de la cultura de compra que usted trasmite a sus clientes podrá también garantizarle que sus datos están protegidos y que puede comprar con tranquilidad por medio de su infraestructura.
  • Sus funcionarios (empleados) estarán capacitados frente a las amenazas que existen en el mercado: este aspecto es de resaltar, pues es bien sabido que en la cadena de seguridad el eslabón más débil son las personas. Si ellas reciben capacitación, serán capaces de detectar cualquier anomalía frente a la seguridad de la información de tarjetas e incluso mejorar las practicas que hay dentro de la organización. Un funcionario bien capacitado siempre será un aliado más en la seguridad.
  • Podrá elegir mejor sus proveedores: las empresas que le prestan servicios tienen gran responsabilidad y cobran mucha importancia frente a la seguridad de su compañía. Implementando PCI-DSS usted tendrá más herramientas a nivel crítico para exigirle a sus proveedores un mejor y seguro servicio, si están implicados en procesos transaccionales con tarjetas.
  • La inversión que puede hacer a la seguridad de la información puede ser menor a un fraude por el que tenga que responder: en caso de no contar con medidas de seguridad, corre el riesgo de tener fraudes o ataques maliciosos, que le pueden costar tal vez más de lo que puede invertir antes de que le suceda.

Estas son algunas de los beneficios que tiene la norma y la seguridad de la información en general para su compañía siempre y cuando implemente la norma a conciencia y lleve a cabo las mejores prácticas para implementar PCI DSS en los procesos habituales (o “Business As Usual” – BAU) que exige la norma.

Es importante que dentro de la información que comparta con sus clientes también cree una cultura de seguridad, educándolos para que ellos, después de conocer la importancia de este tipo de certificaciones, entiendan que su empresa con relación a la industria es bastante confiable y segura, haciendo que sus ventas aumenten.

No olvide que PCI-DSS no lo exime frente a un fraude ni un incidente de seguridad, pero ejecutando las actividades alineadas a ella podrá mitigar muchos de los riesgos a los que están expuestas las empresas de hoy, donde el activo más importante para los delincuentes siempre será la información.