Especialistas en servicios y soluciones tecnológicas transaccionales

Empresa

¿Tokenizar todo?… ¿hacia dónde vamos en materia de seguridad de la información en medios de pago?

Noticias

Las nuevas soluciones, productos y medidas tendientes a fomentar la inclusión financiera de todos los sectores sociales, son moneda corriente estos días. Estas iniciativas, acciones que buscan democratizar los medios de pago ofrecen más opciones a la vez que implican nuevos riesgos y desafíos en materia de seguridad de la información.

Proteger la información sensible que se almacena, procesa o transmite es un problema que cada vez adquiere mayor relevancia para las marcas, procesadoras, bancos y otras instituciones financieras, que además de adecuarse a la normativa en materia de seguridad, deben implementar medidas que colaboren activamente en la prevención de fraude y robo de identidad.

En particular en la industria de medios de pago es un requisito cumplir con la norma PCI – DSS (Data Security Standard). El costo de cumplir con esta norma PCI puede ser muy elevado e incluye costos de desarrollo, capacitación, auditorías, etc. siendo proporcional a la cantidad de servidores y aplicaciones que la deban cumplir. Esta norma aplica si se almacena, procesa o transmite un número de cuenta principal (PAN). El mercado se mueve a implementar soluciones de seguridad cada vez mejores, buscando minimizar a la vez riesgos y costos. Estas soluciones son muy difíciles de implementar in house y se requiere un muy alto nivel de conocimiento de la norma PCI y principios de seguridad de la información, por lo que la mayoría de las veces buscan proveedores de nivel mundial que cumplan con sus exigencias.

Particularmente, sobre este requisito, Guido Balcázar, Gerente General de ATC Red Enlace comentó cómo surgió la iniciativa de la empresa para buscar herramientas que ofrezcan seguridad y garantías para llevar adelante este proceso: “la empresa como parte de sus objetivos estratégicos definidos en la Planificación Estratégica 2013-2017", definió “contar con certificaciones de estándares internacionales para acreditar procesos críticos del negocio”, razón por la que definimos crear un programa que nos permita alcanzar la Certificación al Standard de Seguridad PCI DSS durante las gestiones 2014-2015.

En ese sentido a principios de 2014, bajo la metodología PMBOK adoptada por la empresa y resultado de la revisión de los 12 requisitos y 399 requerimientos específicos del estándar, se evidenció la necesidad de contar con herramientas y soluciones que nos permitan cumplir con los objetivos trazados dentro de las fechas propuestas a nuestro Directorio, por lo que optamos por evaluar herramientas de tokenización y posteriormente sistemas de administración de tarjetas electrónicas. De las propuestas recibidas y después de llevar a cabo procesos exhaustivos de evaluación y de ejecutar una prueba piloto del módulo de tokenizacion denominado Secure TX en la que se obtuvieron resultados satisfactorios, evidenciamos que las soluciones ofrecidas por PayTrue se adecuan a las necesidades de ATC”.

En la propuesta de PayTrue existen distintas alternativas en el mercado para cumplir con estos objetivos, que se basan, entre otras técnicas, en cifrado, hashing, enmascaramiento, y/o tokenización. Cada uno de estos enfoques tiene ventajas y desventajas y se deben seleccionar considerando las necesidades específicas de la institución. Una posible manera de reducir el costo (tanto en tiempo como en dinero) es reducir el alcance de PCI. La solución desarrollada por PayTrue, PayStudio SecureTX se basa en la tokenización para lograrlo.

El SecureTX es una solución, certificada PA -DSS, diseñada para facilitar el cumplimiento de normativa PCI reduciendo el alcance del estándar. El objetivo es sustituir, en la mayor cantidad de lugares posibles, el PAN por un token. De esta forma se logra reducir el CDE (Cardholder Data Enviroment) radicalmente. Permite proteger múltiples sistemas simultáneamente. Permite configurar múltiples canales y formatos de mensajes, en particular ISO 8583 sobre TCP.

Con el SecureTX se logran los siguientes objetivos:

  • Cumplir con la norma PCI DSS.
  • Reducir los costos de cumplir con la norma PCI, en particular, reducir el alance de las auditorías.
  • Reducir el impacto de un ataque malicioso.

Además de cumplir con la normativa PCI-DSS, soporta nativamente los flujos necesarios para procesadores de medios de pago, incluyendo traslación de PIN y manejo de DUKPT. Garantiza un altísimo desempeño transaccional. Opera indistintamente en aplicaciones Batch o En-línea. Generación de tokens que preservan el formato de la tarjeta original, de manera de reducir a un mínimo el impacto en los sistemas a proteger. Admite arquitecturas de alta disponibilidad o redundancia y ya cuenta con instalaciones exitosas en la región.