Llegamos a ustedes gracias a:



Noticias

MasterCard refuerza los requerimientos de seguridad

[19/06/2009] En una acción que es poco probable que caiga bien a muchos comerciantes, MasterCard ha cambiado discretamente un requerimiento de seguridad fundamental para todos los negocios que manejan entre uno y seis millones de transacciones de tarjetas anualmente.

Desde el 31 de diciembre del 2010, a las compañías que caigan en esta categoría -llamada Nivel 2- se les pedirá que lleven a cabo una revisión on-site de sus controles de seguridad por parte de un asesor aprobado por MasterCard.
En la actualidad, a estos comerciantes solo se les pide que llenen una autoevaluación de su cumplimiento de los requerimientos Site Data Protection de MasterCard. Solo a los comerciantes de Nivel 1 -aquellos que procesan más de seis millones de tarjetas anualmente- se les pide en la actualidad que realicen tal evaluación. No queda claro de forma inmediata qué pudo haber impulsado este cambio por parte de MasterCard. Las solicitudes de comentarios a MasterCard no fueron contestadas.
MasterCard, Visa y las otras grandes compañías de tarjetas de crédito actualmente solicitan a todas las compañías que aceptan transacciones con tarjetas de pago que cumplan con los requerimientos de seguridad llamados Payment Card Industry Data Security Standard, o PCI DSS. Pero cada una de ellas tiene sus propios estándares para evaluar el cumplimiento de los requerimientos PCI.
El cambio marca una de las pocas ocasiones en las que MasterCard ha emitido un mandato de seguridad antes que Visa, la cual generalmente ha sido el proponente más agresivo de los PCI.
Jim Huguelet, consultor independiente de PCI, señaló: queda por ver si esto representa una nueva tendencia en el liderazgo por parte de MasterCard, y si no es así, que fue lo que específicamente impulsó a MasterCard a realizar este cambio en este momento.
El nuevo reglamento surge en un momento en el que hay escasez de evaluadores para hacer la evaluación de seguridad on-site, afirmó Huguelet. Creo que uno de los grandes impactos, si esto se cumple, es el incremento en la demanda de evaluadores de seguridad calificados, señaló. Esto solo va a exacerbar aún más la situación.
El sitio web de MasterCard aún señala que los comerciantes de Nivel 2 necesitan de una autoevaluación anual, señaló Huguelet. La industria necesita una explicación en cuanto a lo que significa esto en la práctica, ya que tener una auditoria por parte de un asesor de seguridad calificado y completar una autoevaluación tenderían a ser prácticas mutuamente excluyentes, indicó.
Avivah Litan, analista de Gartner, afirmó que es un mal momento para la acción de MasterCard ya que se produce cuando hay una creciente preocupación acerca de la calidad de la base existente de asesores externos en la industria de pagos.
Hasta que no se tomen medidas para asegurar una mejor calidad y estandarización de los asesores externos y de las prácticas de evaluación, parece que hay poco que ganar solicitando a los comerciantes de Nivel 2 que realicen evaluaciones on-site, señaló Litan.
El que muchos asesores de seguridad externos aprobados en la industria de pagos vendan productos de seguridad a la par que sus servicios es algo problemático, y necesita ser abordado antes que se utilicen a estos asesores en forma amplia, indicó.
Litan afirmó que no hay evidencia de que el nuevo requerimiento, que impondrá costos adicionales a los comerciantes de Nivel 2, sea justificado. Sería otro el contexto si hubiera un buen grupo de asesores. Pero no los hay, indicó.
Jaikumar Vijayan, Computerworld