Como Director Asociado Regional en Brasil, el Sr. Caetano está encargado de promover el conocimiento y adopción de los estándares de PCI dentro de Brasil, trabajando junto a los comercios, adquirentes, instituciones financieras, profesionales de seguridad, fuerzas policiales y otras importantes partes interesadas a través del ecosistema de pagos brasileño.

El Sr. Caetano trae al Consejo gran experiencia por haber trabajado los últimos 13 años en seguridad de la información, y especialmente los últimos 10 años trabajando directamente en programas PCI. Recientemente ocupó el cargo de oficial de seguridad y riesgos de la información para First Data en Brasil, donde sus responsabilidades incluyeron el escrutinio de seguridad de la información para proyectos estratégicos, seguridad de la información a nivel corporativo, dirección de riesgos de datos privado, además de manejar el programa de certificación PCI en Latinoamérica. Antes de ingresar a First Data, el Sr. Caetano trabajó para Trustwave como Director de Consultoría para Latinoamérica, donde fue responsable de proveer servicios de seguridad, incluyendo todas las Normas PCI, a más de 50 empresas en varios países e industrias verticales, incluyendo bancos adquirentes y emisores, procesadores, centrales de llamadas y datos, y pasarelas de pagos. Antes de unirse a Trustwave, el Sr. Caetano trabajó para Cielo como especialista de seguridad informática, encargado de varias defensas en la estrategia de seguridad de Cielo, incluyendo el Programa de Cumplimiento de PCI, respuestas de incidentes, manejo de vulnerabilidad, pruebas de seguridad avanzadas y seguridad de aplicaciones.

El Sr. Caetano tiene un bachiller en ciencias de la computación, una maestría en seguridad informática y de red, y un postítulo en proyectos y gestión empresarial. Su actividad académica resultó en la publicación de varios artículos en conferencias nacionales e internacionales y la enseñanza de cursos de postgrado en seguridad informática en Brasil. También tuvo las certificaciones ISA, PA-QSA y QSA del Consejo PCI durante su tiempo en First Data y Trustwave.

Nativo de Brasil, vive en Sao Paulo y habla portugués, español e inglés.

[PCI Hispano] En enero de 2018 recibimos la noticia de la creación de la primera junta de participación regional del PCI SSC (PCI SSC Regional Engagement Board) en Brasil, lo cual demuestra la apuesta del PCI SSC por Latinoamérica. Ya han transcurrido varios meses desde su fundación y nos gustaría conocer qué iniciativas se están trabajando en esa junta, el impacto que ha tenido en el fortalecimiento de los procesos de cumplimiento normativo en Brasil y si existe un proceso de integración de otras empresas del resto de Latinoamérica.

“El Brasil Regional Engagement Board (REB) ha sido un piloto muy exitoso de discusión regional para que los interesados ​​puedan proveer comentarios al PCI SSC”.

[Carlos Caetano] El Brasil Regional Engagement Board (REB) ha sido un piloto muy exitoso de discusión regional para que los interesados ​​puedan proveer comentarios al PCI SSC. Dado que el REB está compuesto por empresas que representan a emisores, procesadores, adquirentes, asociaciones, comerciantes, vendedores y marcas de tarjetas de pago, es un gran grupo para compartir con el Consejo los problemas, desafíos y tendencias enfrentadas localmente, pero también los casos de éxito con un alcance más amplio de audiencia. La principal iniciativa del REB de Brasil es proporcionar un canal de colaboración con sus miembros, ya que éstos son expertos en la industria de tarjetas de pago. Las reuniones se realizan una vez por trimestre, con tres teleconferencias y una reunión presencial anual, que se realiza justo después del Foro de América Latina. El REB de Brasil atrajo más interés de las partes interesadas para convertirse en organizaciones participantes del Consejo y nominarse para ser elegidos como miembros del REB. Esto también ha despertado más interés en el país por la importancia de las Normas de Seguridad PCI como padrón de apoyo en la constante batalla contra el delito cibernético. El Comité Ejecutivo del PCI SSC todavía está revisando los resultados del actual REB de Brasil para decidir sobre su expansión a empresas con sede en otros países de América Latina, y en otras regiones, como CEMEA y APAC.

[PCI Hispano] El 15 y 16 de agosto de 2018 tuvo lugar el foro del PCI SSC de Latinoamérica en São Paulo (Brasil), con la participación de algunos de los ejecutivos del PCI SSC y expertos regionales como ponentes. Al respecto, ¿podrías contarnos qué tal fue la experiencia y qué novedades podemos esperar para el próximo foro del 2019?

[Carlos Caetano] Sao Paulo, Brasil, fue sede del Foro de América Latina 2018 (LAF) los días 15 y 16 de agosto. Hubo mucha expectativa tanto del equipo de PCI SSC como de las partes interesadas en la industria latinoamericana de tarjetas de pago, dado el éxito del año anterior. Aunque competimos con dos grandes eventos que se superponían con el LAF, la asistencia fue muy destacada: asistentes provenientes de 16 países y 14 sectores del ecosistema de pagos ayudaron al equipo de PCI SSC con el objetivo de ayudar a asegurar los datos de los tarjetahabientes.

La agenda estuvo llena con actualizaciones de parte del Consejo y exponentes regionales con mensajes comunes: el cibercrimen está organizado y globalizado, y la colaboración entre las partes interesadas de la industria es clave para el éxito en la batalla contra los ciberdelincuentes. El REB, la principal iniciativa de colaboración del Consejo en Brasil para 2018, proporcionó información clave para definir la agenda y contenido que se presentó en LAF. Las nuevas tecnologías de seguridad de pago para América Latina, como P2PE y EMV 3DS, fueron presentadas por expertos de la industria, junto con sugerencias de QSAs sobre cómo mantener el cumplimiento de PCI DSS durante todo el año y cómo usar los controles PCI DSS para tomar decisiones comerciales.

Con respecto al LAF 2019, comenzaremos a planificarlo ahora a principios de Octubre, cuando revisaremos todos los comentarios recibidos de quienes asistieron al Foro. La información concreta que puedo compartir ahora es que definitivamente sucederá en 2019, muy probablemente en Agosto como en las ediciones anteriores.

“El nuevo enfoque de dos niveles para la membresía de Participating Organization (PO) se introdujo en respuesta a comentarios de la industria y ofrece diferentes precios basado en la clasificación de países y grupos de préstamos del Banco Mundial”.

[PCI Hispano] Las organizaciones participantes del PCI SSC (Participating Organization – PO) han jugado un papel fundamental en el desarrollo de iniciativas de mejoras en la seguridad de tarjetas de pago. No obstante, de más de 800 organizaciones participantes a nivel mundial, solamente 30 pertenecen a Latinoamérica y el Caribe. ¿Qué estrategias se están manejando desde el PCI SSC para incentivar a que otras empresas de la región se vinculen con esta iniciativa?

[Carlos Caetano] El PCI SSC anunció el 15 de marzo de 2018 un cambio significativo en la estructura de precios para el Programa de Organización Participantes (PO) del PCI SSC que beneficiará a muchos países a nivel mundial. El nuevo enfoque de dos niveles para la membresía de PO se introdujo en respuesta a comentarios de la industria y ofrece diferentes precios basado en la clasificación de países y grupos de préstamos del Banco Mundial. La cuota anual para las organizaciones participantes es de USD 3,750, y no hay límite en la cantidad de empleados en una organización que pueden estar activos. A partir del 1 de junio de 2018, las organizaciones que tienen su sede en aquellos países clasificados como países de ingresos medianos altos, de ingresos medianos bajos y de bajos ingresos por el Banco Mundial, califican para una cuota reducida de membresía de USD 2,250 anuales, un ahorro del cuarenta por ciento. Muchos países de América Latina califican en estas nuevas categorías y tienen por tanto acceso a este beneficio desde su fecha de vigencia. El PCI SSC está comunicando constantemente a las partes interesadas de PCI con respecto a este beneficio para alentar a otras empresas a asociarse como PO y ser más activas en la colaboración con la industria de tarjetas de pago en América Latina.

[PCI Hispano] En Latinoamérica, Brasil y México son probablemente los países que tienen las mayores tasas de fraudes con tarjetas de pago. De tu experiencia en el área de seguridad en medios de pago, ¿qué estrategias se podrían emplear para tratar de minimizar estos problemas, tanto en pagos presenciales y no presenciales?

[Carlos Caetano] El principal desafío para los comerciantes al luchar contra el fraude en las transacciones con tarjetas de pago, no sólo en América Latina sino a nivel mundial, es saber que el consumidor que realiza la transacción es realmente quien dice ser. Esto se resolvió con una autenticación mejorada en las transacciones actuales de tarjeta con EMV (transacciones de chip y PIN) y EMV 3DS para comercio electrónico, donde el titular de la tarjeta se autenticará para cada transacción, con un desafío adicional que será solicitado por el emisor en las transacciones identificadas como de alto riesgo. Las soluciones certificadas Point-to-Point Encryption (P2PE) proporcionan la confidencialidad de los datos de transacción que se leen en un terminal habilitado, cifrando los datos que luego se descifrarán en un entorno certificado por PCI DSS, eliminando así información sensible desde las instalaciones del comerciante. La tokenización también es una solución tecnológica que los comerciantes pueden considerar para proteger los datos del tarjetahabiente. Como se discutió en el Foro de América Latina 2018 (LAF), ya han pasado 12 años desde el lanzamiento de la primera versión de PCI DSS, no obstante los comerciantes y proveedores de servicios aún enfrentan desafíos similares que hace 12 años, y la adopción de las tecnologías mencionadas ayuda a minimizar su riesgo.

[PCI Hispano] A diferencia de otras regiones como Estados Unidos y Europa, en las cuales los índices de implementación del estándar PCI DSS han crecido de forma significativa en los últimos años, en Latinoamérica aún no se ve el mismo efecto. ¿Cuál consideras que pueda ser la razón por la que el cumplimiento de este estándar no se haya masificado en esta región, teniendo en cuenta el impacto positivo que ha tenido en otros lugares del mundo?

[Carlos Caetano] El PCI SSC no es responsable de los programas y mandatos de cumplimiento y, como tal, no tiene acceso a las AoC de PCI DSS para realizar un análisis en torno a la adopción de la Norma. Sin embargo, podemos medir el aumento del interés en PCI DSS y la seguridad de pagos en América Latina, por ejemplo en nuestros programas.  En los últimos dos años, podemos destacar que 8 nuevas empresas Qualified Security Assessor han obtenido licencia para operar en América Latina y el Caribe (LAC).  También ha habido un 264% de aumento en el número de Organizaciones Participantes Latinoamericanas, y un aumento del 227% en el número de PCI Professionals Latinoamericanos.  Finalmente, debemos destacar la creación del Brasil Regional Engagement Board (REB), la principal iniciativa de colaboración del PCI SSC en Brasil para 2018.

“Point-to-Point Encryption (P2PE) es una tecnología fundamental para devaluar los datos de las tarjetas de pago y prevenir el robo de los datos del tarjetahabiente”

[PCI Hispano] Gracias a la implementación de soluciones P2PE (Point-to-point Encryption), los comercios se pueden ver beneficiados con una minimización de sus riesgos en pagos presenciales y de su entorno de cumplimiento de PCI DSS. ¿Qué tanta aceptación ha tenido este tipo de soluciones en Brasil?

[Carlos Caetano] Point-to-Point Encryption (P2PE) es una tecnología fundamental para devaluar los datos de las tarjetas de pago y prevenir el robo de los datos del tarjetahabiente. Las soluciones P2PE minimizan la exposición de los datos de la tarjeta y simplifican los esfuerzos de seguridad y cumplimiento para las empresas. Según tengo entendido, todavía no hay soluciones P2PE que sean utilizadas por los comerciantes brasileños. El PCI SSC ha estado discutiendo este tema con los asesores del REB Brasil para comprender los desafíos actuales en el mercado brasileño. El resultado de la discusión es que no existe un verdadero obstáculo para que los comerciantes adopten soluciones P2PE en Brasil, por lo que creo que es cuestión de tiempo para que empiece a ser implementadas. Además, en el Foro América Latina 2018, hubo una presentación específica entregada por una empresa P2PE-QSA para atraer más interés de las partes interesadas de PCI en América Latina.

[PCI Hispano] En estos últimos meses hemos visto como los sistemas bancarios de México (SPEI), Chile y Perú sufrieron ataques cibernéticos contra su infraestructura informática, exponiendo miles de datos de tarjetas de pago. Al respecto, ¿cuál es la posición del PCI SSC? ¿Qué se podría hacer desde el punto de vista de cumplimiento normativo para tratar de evitar que estos problemas vuelvan a ocurrir?

[Carlos Caetano] El PCI SSC no es responsable de los programas y mandatos de cumplimiento, por lo que no podemos comentar sobre infracciones que puedan haber ocurrido en Latinoamérica o en el mundo. No obstante, podemos decir que los desafíos de seguridad cibernética son un problema global hoy en día y deben ser considerados para todas las empresas, de cualquier tamaño y geografía. El delito cibernético está globalizado y los delincuentes, por ejemplo, actúan para atacar a las empresas que se encuentran en un país específico y vender datos en la darkweb para que se utilicen en otro país. El PCI SSC ha estado trabajando en el desarrollo de contenido para educación y sensibilización, tales como los recursos de Data Security Essential (DSE), además de varias infografías y videos para ayudar a las empresas de todos los tamaños a comprender mejor este desafío y minimizar su riesgo.

“Los desafíos de seguridad cibernética son un problema global hoy en día y deben ser considerados para todas las empresas, de cualquier tamaño y geografía”

[PCI Hispano] En el trascurso de este año 2018 se han publicado nuevos estándares (PCI SPoC) y se han actualizado otros (PCI DSS y PCI PIN). También hemos tenido actualizaciones de suplementos informativos (Cloud Computing Guidelines) y de recursos para comercios, incluyendo la herramienta interactiva para la evaluación del estado de seguridad en pequeños comercios (Data Security Essentials (DSE) Evaluation Tool for Small Merchants). ¿Tendremos nuevas publicaciones o actualizaciones de documentos para lo que resta de año?

[Carlos Caetano] La publicación más esperada es Software Security Standard, que se espera que se publique en el cuarto trimestre de 2018. También se esperan dos publicaciones de Grupo de Interés Especial para 2018: Datos de tarjeta de pago basados en teléfono esperados en Q3 y Mejores prácticas para mantener el cumplimiento de PCI DSS en Q4 (o a más tardar Q1 de 2019). Finalmente, el PCI SSC planea publicar la Norma 3DS SDK en Q4 de 2018. Invito a todos los lectores a visitar el blog PCI Perspectives para obtener más información sobre cada una de estas iniciativas.

[PCI Hispano] En el año 2014 el PCI SSC publicó una serie de “minisitios” en 9 diferentes idiomas, incluido el español y el portugués. Sin embargo, estos minisitios no han tenido actualizaciones y hoy mismo están obsoletos. ¿Hay algún proyecto para volver a activarlos?

[Carlos Caetano] Los “minisitios” eran de hecho una versión muy resumida del sitio Web principal en Inglés, pero se actualizaron en 2017 para proporcionar una apariencia similar al sitio Web principal. La diferencia hoy es que sólo enumeran el contenido que se ha traducido a cada idioma específico, pero ya ha mostrado un gran aumento de visitas y se recibieron buenos comentarios al respecto. Los mantendremos actualizados a medida que vayamos traduciendo documentos a los diferentes idiomas.

Los Grupos de Interés Especial (Special Interest Group – SIG) del PCI SSC son iniciativas impulsadas por la comunidad que se centran en desafíos relacionados con las Normas PCI

[PCI Hispano] Finalmente, ¿podrías explicarnos en qué consisten los Grupos Especiales de Trabajo (Special Interest Group – SIG) y cuál es el procedimiento para participar en ellos?

Los Grupos de Interés Especial (Special Interest Group – SIG) del PCI SSC son iniciativas impulsadas por la comunidad que se centran en desafíos relacionados con las Normas PCI. El trabajo del SIG puede proporcionar aclaraciones sobre requisitos específicos dentro de una Norma PCI, examinar cómo funcionan las Normas PCI en cualquier industria o entorno determinado, o cualquier otra área que respalde la misión del PCI SSC de crear conciencia y aumentar la adopción de las Normas PCI. Los temas del SIG se eligen por votación directa de las Organizaciones Participantes (POs) que representan a los comerciantes, las instituciones financieras y los procesadores de pagos, es decir, las organizaciones que implementan las Normas PCI. Las propuestas de los SIGs de 2019 fueron propuestas entre el 15 de agosto y el 12 de septiembre de 2018. Las elecciones, a través del portal de los POs, serán desde el lunes 12 de noviembre y hasta el viernes 30 de Noviembre de 2018. El PCI SSC publicará los resultados en Enero de 2019. Los nuevos SIG se publicarán en el sitio Web de PCI SSC (https://www.pcisecuritystandards.org/get_involved/special_interest_groups), donde las Organizaciones Participantes, los QSA y los ASV interesados ​​en participar podrán registrarse.

Desde PCI Hispano queremos agradecer la amabilidad y el tiempo dedicado por el Sr. Caetano en esta entrevista e invitamos a nuestros lectores a visitar de forma regular nuestro portal con nuevas entrevistas y artículos técnicos orientados al cumplimiento de los estandares del PCI SSC.