Contacto | Servicio de soporte | Login | Biblioteca de Contenido Búsqueda
Inicio > Acerca de RSA > Noticias y eventos

Comunicados de prensa

miércoles, 28 de mayo de 2008
Nueva Encuesta de RSA, la División de Seguridad de EMC, Revela Irregularidades en la Seguridad de los Datos de Tarjetas de Crédito en Latinoamérica
El plazo para cumplir con las Normas de Seguridad de Datos de la Industria de Pagos con Tarjeta (PCI DSS) está por vencerse y las empresas latinoamericanas se apegan a prácticas que van desde lo 'preocupante' hasta lo 'prometedor' en cuanto a la protección de la información de las tarjetas de los consumidores

Ciudad de Mexico— RSA, la División de Seguridad de EMC (NYSE: EMC), anunció hoy los resultados de una encuesta aplicada a las empresas latinoamericanas sobre seguridad de los datos de tarjetas de créditos dentro de sus organizaciones, así como los planes que tienen para poner en práctica nuevas medidas de protección de datos.

Realizada a principios de 2008 por parte de RSA, la encuesta estaba diseñada para investigar la forma en que las empresas almacenan y protegen los datos de tarjetas de crédito. Las normas, conocidas como PCI DSS, constituyen un marco de buenas prácticas aplicable a todas las organizaciones que recopilan, procesan o almacenan información crediticia. Elaboradas por las principales marcas de tarjetas de crédito, las normas tienen un carácter general y fueron pensadas para garantizar la seguridad de los datos de las tarjetas de crédito a lo largo del ciclo de vida de la información.

Los resultados de la encuesta, aplicada a 164 empresas de la región, destacan realidades contrastantes:

  • A diferencia de los resultados de una encuesta similar realizada por RSA en Estados Unidos en 2007, en términos generales el tiempo durante el que las empresas latinoamericanas almacenan datos delicados de autentificación de tarjetas de crédito cumple con lo estipulado en las PCI DSS
  • Los datos de tarjetas de crédito están en múltiples capas dentro de la infraestructura de la información – como bases de datos y sistemas de puntos de venta –, lo que indica grandes retos en cuanto a la prevención de la pérdida de datos
  • Un número importante de empresas todavía no dispone de mecanismos básicos para la seguridad de la información
  • A pesar de que apenas menos de la mitad de las empresas encuestadas conocen las PCI DSS, la mayoría en ese grupo ya ha tomado medidas para cumplir con los requisitos y muchas están listas para cumplir plenamente hacia fines de 2008

Poseer y almacenar datos valiosos de tarjetas de crédito

Almacenar toda la información que se encuentra en una tarjeta genera el mayor nivel de riesgo, ya que si se dispone de la totalidad de los datos es fácil hacer una clonación. Una vez autorizada una transacción, las PCI DSS prohíbe el almacenamiento de datos clave de autentificación, como los datos de la banda magnética, el PIN y el código CVV (verificación de tarjeta). Lo alentador es que la mayoría de las empresas encuestadas (81%) sigue la norma PCI de no almacenar todos los datos de la banda magnética y unas cuantas más (83%) nunca almacenan los códigos CVV. Estos resultados difieren por completo de los obtenidos durante una encuesta similar realizada en EE.UU. en 2007.

Las empresas encuestadas en Latinoamérica señalaron en qué sistemas dentro de sus redes se almacenan, procesan o transmiten datos de tarjetas de crédito. Los resultados muestran que los datos crediticios están desperdigados en múltiples capas de la infraestructura de la información, lo que favorece importantes retos de corto y largo plazo para evitar la pérdida de datos. Las empresas encuestadas destacaron que las ubicaciones más comunes de los datos de tarjetas de crédito son: bases de datos (37%); aplicaciones internas (34%); sistemas de punto de venta (POS) (24%); sistemas de almacenamiento (21%); archivos y carpetas en los servidores (12%); documentos no estructurados, como hojas de cálculo (12%), y correo electrónico (9%).

Mecanismos para proteger los datos de tarjetas de crédito: tecnología y factor humano

Es preocupante notar que solo más o menos la mitad de las empresas encuestadas ha dispuesto tecnologías básicas de seguridad centradas en la información para contribuir a la protección de información crediticia delicada. Apenas 46% de las empresas cifra los datos almacenados sobre las tarjetas; 49% no cifra ningún dato. Cuando se preguntó si las empresas daban seguimiento o monitoreaban todo el acceso a los sistemas dentro del ambiente de los tarjetahabientes, las respuestas se dividieron (48% en cada caso, lo que indica que casi la mitad de las empresas representadas tienen escaso conocimiento acerca de quién tiene acceso a esta crucial información.

Cuando el personal, los socios y los contratistas tienen acceso remoto seguro a las redes de la empresa que contienen datos crediticios, se reduce la exposición al riesgo. Mientras muchas de las empresas encuestadas (43%) aplican la autentificación de dos factores – como la seguridad mediante símbolo testigo o certificados – más de la mitad (52%) corre el riesgo de no brindar este tipo de tecnologías de autentificación.

La encuesta muestra que la mayoría de las empresas (60%) sigue buenas prácticas al permitir el acceso a la información crediticia a entre una y diez personas en total. Otro 20% señaló que sus empresas permiten el acceso a entre 10 y 100 miembros del personal, y 15% indicó que más de 100 personas tienen acceso. Aunque las buenas prácticas demuestran que la seguridad de los datos de tarjetas de crédito se incrementa considerablemente cuando pocas personas tienen acceso a ellos, hay empresas que necesitan dar acceso a más personas debido al tamaño de sus operaciones.

Además, el establecimiento de políticas corporativas para ocuparse de la seguridad de los datos de tarjetas de crédito dentro de cada empresa es fundamental para evitar la pérdida de dichos datos. Si bien la encuesta señala que casi la mitad (47%) de las empresas encuestadas cuenta con una política al respecto, la misma cantidad carece de toda política formal de seguridad de datos.

Conocimiento y planes para cumplir con las PCI DSS

Si bien los plazos para el cumplimiento con las PCI -- y las penalizaciones por incumplimiento -- aún no son plenamente vigentes en Latinoamérica, los plazos ya se han vencido en otras partes del planeta en las que las empresas latinoamericanas hacen negocios (los plazos para EE.UU. se vencieron en noviembre de 2007). Casi la mitad de las empresas encuestadas en Latinoamérica (47%) conocía la norma, pero un punto porcentual más (48%) no la conocía en absoluto. De entre quienes conocen las PCI DSS:

  • La gran mayoría (74%) respondió que se han tomado medidas para cumplir con los requisitos, pero algunos (18%) no han tomado aún medida alguna
  • Más de la tercera parte (35%) se encontraba por arriba de la curva y ya está en situación de cumplimiento o espera estarlo en los próximos seis meses
  • La cuarta parte (25%) espera cumplir en el transcurso de seis a doce meses, mientras que una cifra ligeramente menor (17%) espera hacerlo en uno a dos años. Un pequeño grupo (16%) no pudo indicar un plazo de cumplimiento concreto

"Es alentador que muchas empresas latinoamericanas se hayan reorientado en la dirección adecuada y ya estén tomando medidas preventivas para proteger la información crediticia de sus clientes. No obstante, en la mayoría de los casos los retos tecnológicos, incluso establecimiento de procesos, políticas y mecanismos de cumplimiento, siguen siendo evidentes", comentó Roberto Regente, Director para Latinoamérica de RSA, la División de Seguridad de EMC. "Confiamos en que estas empresas lograrán cumplir las normas de seguridad en tarjetas de crédito al adoptar un enfoque integral de gestión de riesgos de la información. Así, no solo cumplirán con los requerimientos normativos; además, acelerarán sus negocios y podrán lograr mejores resultados".

Algunos datos acerca de la encuesta sobre datos de seguridad y tarjetas de crédito en Latinoamérica realizada por RSA:

  • Un total de 164 personas de empresas latinoamericanas respondieron la encuesta de RSA
  • La mayoría de las repuestas se generó durante una encuesta en línea para empresas latinoamericanas a principios de 2008 (123 respuestas)
  • Se levantó una muestra menor (41 respuestas) durante un acto celebrado en la Ciudad de México
  • Entre los países con mayor índice de respuesta se encuentran México (39%), Brasil (24%), Argentina (9%), Colombia (7%), Chile (6%), Venezuela (3%), Perú (3%) y Ecuador (3%)
  • Esta encuesta aporta datos sobre tarjetas de crédito y débito

Si desea consultar la totalidad de los resultados de la encuesta, por favor visite:
http://www.rsa.com/company/news/releases/pdfs/LACCS_WP_0508_Spanish.pdf

Acerca de RSA
RSA, la División de Seguridad de EMC, es el principal proveedor de soluciones de seguridad para la aceleración de los negocios y ayuda a las organizaciones líderes mundiales a tener éxito mediante la resolución de los desafíos de seguridad más complejos y delicados. Su enfoque de seguridad con base en la información protege la integridad y la confidencialidad de la información en todo su ciclo de vida, sin importar adónde se desplace, quién accede a ella o cómo se utiliza.

RSA ofrece soluciones líderes del mercado en seguridad de identidades y control de acceso, cifrado y gestión de claves, cumplimiento y gestión segura de la información, y protección en caso de fraude. Estas soluciones protegen millones de identidades de usuarios, transacciones realizadas y datos generados. Si desea más información, visite http://www.RSA.com y http://www.EMC.com.

RSA es una marca registrada de RSA Security Inc. en Estados Unidos y/u otros países. EMC es una marca registrada de EMC Corporation. Los otros productos y/o servicios citados son marcas registradas de sus respectivas empresas.
Top of Page Email to a Friend Print
© 2007 RSA Security Inc. All rights reserved | Privacy | Legal | Site Map