Encuesta revela irregularidades en seguridad de datos de tarjetas de crédito en Latinoamérica
En un trabajo realizado por RSA, la División de Seguridad de EMC, se determinó que la mitad de las empresas encuestadas no dispone de mecanismos básicos para la seguridad de la información. Un 48% desconocía el estándar PCI DSS.
La encuesta, realizada a principios de 2008, se presentó a una muestra signficativa de empresas en Latinoamérica para conocer la forma en que almacenan y protegen los datos de tarjetas de créditos. Analizando también el nivel de conocimiento y aplicación del Estándar de Seguridad de Datos en la Industria de Pagos de Tarjeta de Crédito (PCI- DSS), que constituye un marco de buenas prácticas aplicable a todas las organizaciones que recopilan, procesan o almacenan información crediticia.
Los siguientes aspectos pueden ser destacados entre los resultados del trabajo:
Tarjetas de crédito ¿Qué datos se almacenan? Y lo más importante ¿dónde?
• Los datos de tarjetas de crédito residen en múltiples capas dentro de la infraestructura de la información – desde base de datos hasta correo electrónico-, lo que implica grandes desafíos para las empresas en el corto y mediano plazo para prevenir la pérdida de datos.
• Las empresas encuestadas destacaron que las ubicaciones más comunes de los datos de tarjetas de crédito son: base de datos (37%); aplicaciones internas (34%); sistemas de punto de venta (POS) (24%); sistemas de almacenamiento (21%); archivos y carpetas en los servidores (12%); documentos no estructurados, como hojas de cálculo (12%), y correo electrónico (9%).
¿Cómo proteger los datos de tarjetas de crédito? Tecnología + Factor humano
• La mitad de las empresas encuestadas aún no dispone de mecanismos básicos para la seguridad de la información. Sólo el 46%de las empresas encripta los datos almacenados de tarjetas de crédito; mientras que el 49% no encripta ningún dato.
• Por otra parte, el 50% de las empresas consultadas no aplica ninguna solución para monitorear el acceso a estos datos.
• Brindar un acceso remoto seguro a estos datos para empleados, partners y contratistas reduce la exposición al riesgo. En este sentido se observa que sólo el 43% de las empresas encuestadas aplican la autenticación de doble factor – como la seguridad mediante tokens -.
Desconocimiento vs. Cumplimiento
• El 48% de las empresas encuestadas en Latinoamérica desconocían absolutamente el estándar PCI DSS.
• Y entre el 52% que dijo conocerla: el 74% respondió que había tomado medidas para cumplir con los requisitos, el 35% ya estaban en condiciones para cumplir con la norma o esperaban estarlo en los próximos seis meses; y un 25% esperaba poder cumplir con la norma en el transcurso de un año.
Algunos datos acerca de la encuesta de Seguridad de los Datos de las Tarjetas de Crédito en Latinoamérica, realizada por RSA:
• Un total de 164 personas de empresas latinoamericanas respondieron la encuesta de RSA.
• La mayoría de las repuestas se generaron a través de una encuesta online para empresas latinoamericanas a principios de 2008 (123 respuestas).
• Una muestra menor (41 respuestas) fue recolectada durante un evento que tuvo lugar en la Ciudad de México.
• Entre los países con mayor índice de respuesta se encuentran México (39%), Brasil (24%), Argentina (9%), Colombia (7%), Chile (6%), Venezuela (3%), Perú (3%) y Ecuador (3%).
Tras conocer la información del survey, el Director para Latinoamérica de RSA, la División de Seguridad de EMC, Roberto Regente, destacó que "en la mayoría de los casos existen todavía varias cuestiones para mejorar, incluso el establecimiento de procesos, políticas y mecanismos de aplicación". Por ello, advirtió sobre la importancia que tiene para las empresas de Latinoamérica comenzar a "transitar el camino para el cumplimiento de estándares y normas orientadas a la protección de la información crediticia de sus clientes. […] Así, no solo cumplirán con los requerimientos normativos; además, acelerarán sus negocios y podrán lograr mejores resultados".
Si desea consultar la encuesta completa, por favor visite rsa.com (documento PDF).
Fuente: negociosytecnologia.net via rsa.com