• Tweet

Expertos de la industria debatieron sobre quién debe ser responsable de la seguridad, y cómo mejorarla, como consecuencia de las fallas de seguridad de alto grado en el minorista TJX.

¿Quién debe tomar la responsabilidad de la seguridad de las tarjetas de crédito, los comerciantes o los emisores de la tarjeta-

Esta pregunta estuvo bajo discusión en la conferencia de NetEvents en Malta, con los miembros del jurado discutiendo los estándares de seguridad de los datos en la industria de las tarjetas (PCI DSS), desarrollado por el PCI Security Standards Council.

Los sistemas de pagos con tarjeta de crédito necesitan ser más seguros, concordaron los miembros del jurado. En vista del hueco de seguridad de TJX/TK Maxx, Bob Walder, el principal científico en los laboratorios del NSS, recalcó que no proteger los detalles del cliente, puede ser costosos para las compañías.

Aparte del dinero perdido directamente a través de una brecha en los datos, las tarjetas necesitan ser reeditadas, los clientes ser informados y los costos de más largo plazo de reparar el hueco , recuperar la confianza del cliente y sobre todo, el daño causado a la compañía. Los “clientes tienen una memoria larga que puede costar más a largo plazo,” dijo él.

“Si te han comprometido, has puesto a tus clientes en riesgo,” agrego Carlos Solari, el vice presidente de seguridad en Alcatel-Lucent . “Y es el final de tu negocio.”

Pero quién se debe hacer responsable de mantener los datos seguros: ¿minoristas o las compañías de la tarjeta de crédito-

Los comerciantes, dijo Walder, no pueden esperar a ser expertos en seguridad. Pidió la palabra para decir que hay que considerar la forma de pensar de Larry, el dueño de la tienda de pizza: “Tiene que buscar en el diccionario para comprender la palabra cifrado .”

A pesar de esto, excesivamente la mitad de las compañías no se encuentran en condiciones de acreditar la primera evaluación DSS, dijo. Pero las autovaloraciones están abiertas al abuso, así que los usuarios finales necesitan ser forzados a cumplir con los requerimientos, dijo. “Para un comerciante pequeño, es una cosa ajena… la única forma de forzarlos: eliminar su negocio o la capacidad de aceptar tarjetas,” dijo Michael Bacon, el jefe de seguridad de la información en Xchanging.

Pero Alex Raistrick, director de ConSentry Networks en el norte de Europa, dijo: “No está en el interés de las compañías que tienen la capacidad de usar tarjetas, quitarlas.”

Agregó que no es justo para los comerciantes pequeños hacer frente a una aflicción de este tipo. “Es confuso para todos,” dijo, decir que un minorista con 9.000 almacenes y varios miles de personas miembros de su equipo de trabajo puedan mantener sus datos seguros.

Debido a eso, se debe aplicar más presión en las compañías y las redes de tarjetas de crédito para mantener los datos seguros. Una solución podía ser la certificación de los productos de seguridad. “Al final, no importa cómo se consiga, es una necesidad los productos de ser certificados,” dijo a Neal Hartsell, vice presidente de marketing de Tipping Point . De esta manera, proveedores más pequeños y firmas más grandes sabrán igualmente qué productos demuestran tener estándares del PCI, dijo.

Solari de Alcatel-Lucent sugirió que las tarjetas de crédito fueran hechas más segura por sí mismas. “La tarjeta de crédito en sí misma continúa siendo un punto débil,” dijo.

Pero Bacon observó que no puede certificar a la gente. La “gente violará la seguridad siempre” dijo. No importa qué tan buena sea la tecnología, agregó, “todavía hay alguien que la compromete.”. Pidió que la audiencia considerara como ejemplo los coches. No importa cómo los fabricantes de autos ponen mucha tecnología de seguridad, la gente siempre los hará peligrosos - no hay nada que puedes hacer ante eso” dijo él.