Uno de los principales problemas en el proceso de implementación de controles de seguridad en pagos con tarjeta proviene del desconocimiento tanto de las amenazas como de las contramedidas por parte de los comercios. Adicionalmente, la complejidad en el reporte del cumplimiento, el uso de términos altamente técnicos en los documentos relacionados y la masificación de técnicas para que personas maliciosas exploten las vulnerabilidades de los activos involucrados en el flujo de pagos (skimming, phising, malware, etc.) hacen que las pequeñas y medianas empresas (PYMES) sean un objetivo importante para la exfiltración no autorizada de datos de tarjetas de pago.

Con el fin de facilitar la adopción de los estándares de seguridad en pagos con tarjeta, el PCI SSC publicó en julio de 2016 una serie de recursos orientados exclusivamente a comercios (PCI Payment Protection Resources for Small Merchants). Estos recursos han sido diseñados con un lenguaje claro y a través de diferentes escenarios le permiten a los comercios identificar su entorno, los potenciales riesgos asociados y los activos que pueden ser atacados.

Dentro de estos recursos se encuentran (todos en idioma inglés):

  • costeGuía para pagos seguros (Guide to Safe Payments): En este documento se revisan los potenciales riesgos a los que está expuesto un comercio, los tipos de datos de tarjeta que los atacantes buscan, los sistemas vinculados en el flujo (TPV, sistemas de pago, bancos, etc.) y 12 contramedidas básicas a implementar con su respectivo comparativo de coste, facilidad de implementación y mitigación de riesgo.
  • riskSistemas comunes de pago (Common Payment Systems): En esta guía se enumeran los 14 escenarios en los que se pueden presentar pagos con tarjeta (tanto presenciales como no presenciales) y se analizan uno a uno su perfil de riesgos (ya sea en chip o banda magnética), amenazas y protecciones.
  • Glosario de términos de pagos y de seguridad de la información (Glossary of Payment and Information Security Terms): Un listado de términos de uso común en el ecosistema de estándares del PCI SSC con explicaciones claras para personal no técnico.
  • Preguntas para los vendedores (Questions to Ask Your Vendors): Preguntas importantes a ser formuladas a proveedores de servicio, procesadores de pago, proveedores de software, integradores, etc. para determinar si sus productos y/o servicios cumplen con las premisas básicas de seguridad de datos de tarjeta.

Como complemento a estos recursos documentales, el PCI SSC también ha publicado un conjunto de imágenes para ser empleadas en redes sociales, que contienen diferentes recomendaciones para el aseguramiento de los datos de tarjeta recibidos por comercios. Para ello, se ha creado el hashtag #PCISMB

smb_socialmedia

Finalmente, también se ha puesto a disposición un infográfico que resume de forma global los conceptos enunciados en los demás documentos:

Todos estos documentos entran a complementar los recursos educativos que de forma periódica el PCI SSC pone a disposición del público en general para soportar los esfuerzos en la protección de los pagos con tarjeta.