Seguridad financiera

Caso de Estudio FUTUREX

Ciberresiliencia mediante asociaciones estratégicas

El 2020 fue un año crucial para el sector financiero. Muchas organizaciones tuvieron que encontrar la manera de continuar con su crecimiento en medio de tantos cambios del mercado. Durante este periodo, la empresa mexicana de seguridad de pagos Copayment inició una asociación estratégica con Futurex; buscaban un socio tecnológico que contara con el mejor soporte al cliente, y que a su vez, brindara la mejor experiencia tecnológica. Desde entonces, Copayment ha aprovechado las plataformas HSM de Futurex para aumentar su cuota de mercado, abriendo las puertas a oportunidades globales para generar un rápido crecimiento de la compañía.

 

Asociaciones tecnológicas

Futurex se asocia con una amplia gama de distribuidores y consultores TI para ayudar a las organizaciones de todo el mundo a proteger sus datos más sensibles. Además, desarrolla y fabrica estos HSMs que pueden desplegarse in situ (o en la nube) para lograr adquirir pagos, emitir credenciales de pago, realizar cifrado punto a punto (P2PE), y mucho más.

Asimismo, Copayment al ser un gran distribuidor, buscaba proveedores de HSM que garantizaran un alto nivel de cumplimiento de la normativa de seguridad de datos PCI y FIPS, un socio tecnológico que admitiera diversas API y bibliotecas de clientes para facilitar la integración con aplicaciones host, y una plataforma HSM que lograra satisfacer la más amplia gama de casos de uso criptográfico de la manera más sencilla posible; tanto si se tratase del cifrado de tarjetas o de la emisión de certificados digitales, puesto que mientras más fácil sea el proceso para el usuario, mucho mejor, esto permitirá generar intereses y negocios.

Para un proveedor de HSM como Futurex, es igual de importante ofrecer un excepcional servicio de atención al cliente, después de todo, proteger las redes de pago con hardware criptográfico es una actividad compleja, ya que cuando se hacen preguntas críticas, no puede haber demora en responderlas. Así que, Copayment encontró en la plataforma HSM de Futurex todo lo que estaba buscando.

 

Objetivos del proyecto

En la búsqueda de cumplir con la misión de ofrecer seguridad de pagos a nivel empresarial, Copayment necesitaba asociarse con un proveedor de HSM de nivel empresarial cuya tecnología pudiera ayudarle a extenderse hacia nuevos mercados.

Uno de los principales servicios de Copayment era conectar a través de su infraestructura criptográfica con fintech, procesadoras de pagos, bancos y otras organizaciones del sector de medios pagos. Copayment ya trabajaba con clientes locales en estos campos, y quería diversificarse y trabajar con grandes organizaciones financieras internacionales. Para hacerlo, necesitaban que su proveedor de tecnología ofreciera conformidad total con PCI.

 

Asociación tecnológica

Copayment buscaba establecer una asociación a largo plazo con un proveedor de criptografía de hardware empresarial. Buscaba un socio que contara con las siguientes cualidades:

  • Cumplimiento total de PCI
  • Excelente servicio al cliente
  • Experiencia tecnológica
  • Soluciones fáciles de usar

 

Nuevos mercados verticales

Copayment ya tenía una gran experiencia en el sector de medios pago, y quería ampliar su alcance a nuevos sectores económicos, así que su infraestructura criptográfica tendría que ofrecer un rendimiento fiable y diversas funcionalidades que le permitieran adaptarse a nuevos clientes de diferentes sectores.

 

Expansión internacional

Para seguir siendo competitivo en el mercado de Latinoamérica y El Caribe, Copayment necesitaba una plataforma HSM que pudiera cumplir fácilmente con los requisitos internacionales. Esto le permitiría adquirir nuevos clientes sin tener que superar ningún obstáculo relacionado con el cumplimiento.

 

Formando la asociación

La decisión de trabajar con Futurex fue basada inicialmente en su reputación como expertos en criptografía, chips y llaves. Copayment sabía que una plataforma HSM sería esencial para sus operaciones diarias, proporcionando seguridad en las transacciones a los clientes.

Según Pedro Gil, director general de Copayment “Nuestros especialistas eligieron Futurex por dos razones: la experiencia y el apoyo ofrecido. El soporte es uno de los mejores servicios de valor añadido de Futurex, ya que los técnicos se sienten libres de hacer preguntas específicas, y saben que serán aclaradas”.

Después de que Futurex explicara su esquema de soporte, así como sus certificaciones de alto cumplimiento y soporte de integración universal, Copayment determinó que trabajar con Futurex le permitiría ofrecer un servicio de calidad a un precio competitivo. La integración de las plataformas y soluciones HSM de Futurex con las aplicaciones y la infraestructura existentes de Copayment fue rápida, sencilla y segura. Copayment pudo ampliar inmediatamente su rendimiento para procesar más clientes, tarjetas y transacciones.

 

Resultados

Plataforma HSM

Una de las soluciones claves, fue que Futurex ayudara a Copayment a implementar su plataforma HSM. Los HSM de Futurex desempeñan un papel fundamental en las operaciones diarias de Copayment y han permitido a la empresa aumentar su base de clientes.

El primer éxito de Copayment con las plataformas HSM de Futurex fue con una empresa fintech en la que pudieron evaluar todas las funcionalidades de los HSM tanto en entornos de prueba como de producción.

Copayment declaró: “Los equipos de Futurex han sido una pieza importante para aumentar nuestra base de clientes, gracias a las mismas llaves, los nuevos clientes pueden migrar hacia Copayment. Y por supuesto, también, gracias a nuestra tecnología que incluye la seguridad de los HSM Futurex’’.

Apoyo continuo

Durante la pandemia mundial de 2020, Futurex proporcionó actualizaciones y formación para los colaboradores de Copayment, ayudándoles a mantenerse al día con las nuevas soluciones criptográficas y a seguir proporcionando soluciones a sus clientes.

Ventajas de cumplimiento

El cumplimento de las normativas PCI DSS y la certificación PCI PTS HSM v3 de los HSM de Futurex han abierto las puertas a Copayment para trabajar con grandes organizaciones de pago como American Express, VISA y PROSA. Desde la implantación de las soluciones Futurex, Copayment ha experimentado un crecimiento constante de su base de clientes y de su cuota de mercado. Atribuyen este éxito a la mejora de la seguridad, el cumplimiento y la funcionalidad que ofrecen las plataformas HSM de Futurex.

 

Contactar a Futurex

Si tienes pregunta sobre este caso de estudio, o sobre todo lo relacionado con la gestión de llaves basada en hardware; no dudes en ponerte en contacto con nuestro equipo

Lee el artículo completo…

¡Suscríbete a nuestro boletín!

Caso de estudio FUTUREX Leer más »

PCI DSS: La clave para proteger tus transacciones y resguardar tu tranquilidad financiera

Introducción

En la actualidad, vivimos en una era dominada por las transacciones electrónicas, las cuales se han arraigado de manera profunda en nuestro día a día. En México, cada vez más personas recurren al uso de tarjetas de pago tanto para realizar compras en línea como en tiendas físicas, brindándoles comodidad y practicidad. Sin embargo, a medida que estas transacciones se han vuelto más frecuentes, también ha surgido una creciente preocupación por la seguridad de los datos personales y confidenciales de los titulares de tarjetas.

Aquí es donde entra en juego un protagonista crucial: el PCI (Payment Card Industry). El PCI se ha erigido como la salvaguarda de la integridad de los datos en la industria de medios de pago en México. En este artículo, sumérgete en el fascinante mundo del PCI y descubre por qué se ha convertido en un componente vital para garantizar la seguridad de las transacciones electrónicas en nuestro país. Exploraremos en profundidad qué es el PCI y cómo su implementación adecuada juega un papel fundamental en la protección de los datos confidenciales de los usuarios de tarjetas de pago.

No te pierdas esta oportunidad de adentrarte en el apasionante universo del PCI y entender cómo este estándar de seguridad se ha convertido en una fortaleza indispensable para nuestra industria de pagos en México.

 

¿Qué es el PCI?

PCI, que significa Payment Card Industry, es un conjunto de estándares de seguridad desarrollados por las principales compañías de tarjetas de pago, como Visa, Mastercard, American Express, Discover y JCB International. Estos estándares establecen las medidas de seguridad que las organizaciones deben implementar para proteger la información confidencial de los titulares de tarjetas durante el procesamiento, transmisión y almacenamiento de datos de tarjetas de pago.

 

Importancia del PCI para la industria de medios de pago en México.

La implementación del PCI DSS es de vital importancia para la industria de medios de pago en México. A continuación, se destacan algunas razones clave que resaltan su importancia:

Protección de datos sensibles: La información almacenada en las tarjetas de pago, como números de tarjeta, fechas de vencimiento y códigos de seguridad, es extremadamente sensible y valiosa. El cumplimiento de los estándares de PCI garantiza que los datos de los titulares de tarjetas estén protegidos de posibles ataques cibernéticos y fraudes, minimizando así el riesgo de robo de identidad y pérdida financiera.

Confianza del consumidor: Los consumidores mexicanos buscan realizar transacciones seguras y confiables. El cumplimiento de los estándares de PCI demuestra a los usuarios que los comercios y proveedores de servicios están tomando en serio la protección de sus datos financieros. Esto fomenta la confianza del consumidor y los motiva a utilizar tarjetas de pago con mayor frecuencia, lo cual impulsa el crecimiento de la industria de medios de pago.

Cumplimiento legal y normativo: En México, existen leyes y regulaciones específicas que exigen a las organizaciones proteger adecuadamente la información del titular de la tarjeta. El cumplimiento de los estándares de PCI ayuda a las empresas a cumplir con estas obligaciones legales y evita posibles sanciones y consecuencias legales. Además, el cumplimiento de PCI puede ayudar a las organizaciones a prepararse para auditorías y evaluaciones de seguridad.

Reducción de riesgos y costos: El no cumplir con los estándares de seguridad puede exponer a las organizaciones a brechas de seguridad, fraudes y problemas de reputación. La implementación de medidas de seguridad adecuadas, siguiendo el PCI, ayuda a mitigar estos riesgos. Además, la inversión en seguridad y el cumplimiento de los estándares de PCI pueden resultar en una disminución de los costos asociados con posibles multas, compensaciones y daños a la reputación de la empresa en caso de incidentes de seguridad.

 

¿Quién debe cumplir con PCI DSS?

PCI DSS (Payment Card Industry Data Security Standard) debe ser cumplido por todas las organizaciones que procesan, transmiten o almacenan datos de tarjetas de pago. Esto incluye a comerciantes, procesadores de pagos, emisores de tarjetas, adquirentes, proveedores de servicios y cualquier entidad involucrada en el manejo de transacciones con tarjetas de pago.

Aquí hay algunos ejemplos de organizaciones que deben cumplir con PCI DSS:

Comerciantes: Incluye tiendas minoristas, comercios electrónicos, restaurantes, hoteles, estaciones de servicio y cualquier otro negocio que acepte pagos con tarjetas de pago.

Procesadores de pagos: Empresas que se encargan de procesar transacciones de tarjetas de pago en nombre de los comerciantes. Estos pueden ser proveedores de servicios de pago o instituciones financieras.

Emisores de tarjetas: Las instituciones financieras o bancos que emiten tarjetas de pago, como Visa, Mastercard, American Express, etc.

Adquirentes: Las instituciones financieras o bancos que gestionan las cuentas de los comerciantes y facilitan los pagos con tarjetas de pago.

Proveedores de servicios: Empresas que ofrecen servicios relacionados con las transacciones con tarjetas de pago, como proveedores de servicios de alojamiento web, gateways de pago, procesamiento de datos, entre otros.

Es importante tener en cuenta que el cumplimiento de PCI DSS puede variar según el nivel de la organización y el volumen de transacciones que procesan. Las compañías se clasifican en diferentes niveles según el número de transacciones que manejan anualmente, y se les asignan requisitos específicos de cumplimiento según su nivel.

Sin importar el tamaño de la organización o el nivel de transacciones, todas las entidades involucradas en el manejo de datos de tarjetas de pago deben cumplir con los estándares de PCI DSS para garantizar la seguridad de la información del titular de la tarjeta y proteger contra el fraude y el robo de datos.

 

¿Cómo ser PCI Compliance?

Para lograr el cumplimiento de PCI DSS (Payment Card Industry Data Security Standard), es necesario seguir una serie de pasos y medidas. A continuación, se proporciona una guía general sobre cómo lograr el cumplimiento de PCI:

Entender los requisitos de PCI DSS: Familiarízate con los requisitos establecidos en el estándar PCI DSS. Revisa la documentación oficial proporcionada por el PCI Security Standards Council para comprender las medidas de seguridad que se deben implementar.

Evaluar el alcance del cumplimiento: Determina qué sistemas, redes y procesos están involucrados en el procesamiento, transmisión o almacenamiento de datos de tarjetas de pago. Define el alcance del cumplimiento para identificar qué controles de seguridad son aplicables a tu organización.

Realizar una evaluación de cumplimiento: Realiza una evaluación de cumplimiento interna o contrata a un auditor de seguridad acreditado Qualified Security Assessor (QSA), por sus siglas en inglés) para realizar una evaluación externa. La evaluación evaluará el cumplimiento de los requisitos de PCI DSS en tu organización y proporcionará recomendaciones para mejoras.

Implementar medidas de seguridad: Basándote en los requisitos de PCI DSS y las recomendaciones de la evaluación, implementa las medidas de seguridad necesarias en tu infraestructura. Esto puede incluir la segmentación de redes, la implementación de firewalls, el cifrado de datos, la autenticación de dos factores, la gestión de parches, entre otros.

Monitorear y gestionar el cumplimiento continuo: Establece un programa de monitoreo continuo para asegurarte de que las medidas de seguridad se mantengan y se cumplan de manera constante. Realiza pruebas de seguridad regulares, monitorea los registros de auditoría y realiza evaluaciones periódicas para asegurarte de que el cumplimiento se mantenga en el tiempo.

Elaborar y mantener políticas de seguridad: Desarrolla políticas y procedimientos de seguridad de la información que aborden todos los aspectos de la protección de datos de tarjetas de pago. Comunica estas políticas a los empleados y realiza capacitaciones para garantizar que se comprendan y sigan adecuadamente.

Reportar el cumplimiento: Si tu organización procesa un alto volumen de transacciones con tarjetas de pago, es posible que debas presentar un informe de cumplimiento (ROC, Report on Compliance) o una certificación de cumplimiento (AOC, Attestation of Compliance) al adquirente o a las compañías de tarjetas de pago.

 

¿Qué ocurre si no se cumple con PCI DSS en México?

En México, el cumplimiento de PCI DSS (Payment Card Industry Data Security Standard) es obligatorio para todas las organizaciones que procesan, transmiten o almacenan datos de tarjetas de pago. Si una organización no cumple con PCI DSS en México, puede enfrentar diversas consecuencias y repercusiones, que pueden incluir:

Sanciones y multas: En México, las instituciones financieras y las compañías de tarjetas de pago tienen la autoridad para imponer multas y sanciones a las organizaciones que no cumplen con PCI DSS. Estas multas pueden ser significativas y varían según la gravedad del incumplimiento y el volumen de transacciones que procesa la organización.

Suspensión de servicios y privilegios: En caso de incumplimiento grave o continuo, las instituciones financieras y las compañías de tarjetas de pago pueden optar por suspender los servicios y privilegios de procesamiento de pagos con tarjetas de la organización. Esto puede tener un impacto significativo en las operaciones comerciales y la capacidad de aceptar pagos con tarjetas de pago.

Riesgo Reputacional: El incumplimiento de PCI DSS puede llevar a una pérdida de confianza de los clientes y de la reputación de la organización. Las violaciones de seguridad y el robo de datos de tarjetas de pago pueden afectar negativamente la imagen de la empresa y disuadir a los clientes de utilizar sus servicios.

Responsabilidad legal: Si el incumplimiento de PCI DSS en México resulta en una violación de datos y el robo de información confidencial de tarjetas de pago, la organización puede enfrentar responsabilidad legal. Esto puede incluir demandas de los titulares de tarjetas afectados, costos de investigación y remediación, y posibles sanciones adicionales impuestas por las autoridades regulatorias.

 

¿Dónde denunciar violaciones a las PCI y proteger tus datos personales?

Si sospechas o tienes conocimiento de alguna violación a los estándares de PCI (Payment Card Industry), es importante reportarlo de inmediato para proteger tus datos y los de otros usuarios. Existen diferentes entidades a las que puedes acudir para presentar una denuncia o reportar una violación de seguridad:

Emisor de la tarjeta de pago: Si eres titular de una tarjeta de crédito o débito, puedes comunicarte con la entidad bancaria o financiera emisora de tu tarjeta. Ellos tienen procedimientos establecidos para recibir y gestionar denuncias relacionadas con el mal uso de tarjetas o cualquier violación de seguridad.

Comercio o proveedor de servicios: Si has realizado una transacción en un comercio en particular y sospechas de una violación de PCI, puedes contactar directamente al comercio o proveedor de servicios. Ellos deben tener un proceso para recibir y gestionar denuncias relacionadas con la seguridad de los datos de tarjetas de pago.

Empresas propietarias de las marcas de tarjetas: Las principales redes de tarjetas, como Visa, Mastercard, American Express, entre otras, cuentan con canales para recibir denuncias relacionadas con el incumplimiento de los estándares de seguridad de PCI. Puedes comunicarte con el centro de atención al cliente de la red de tarjetas correspondiente y seguir sus instrucciones para presentar la denuncia.

Autoridades reguladoras: Dependiendo de tu país, existen agencias gubernamentales encargadas de supervisar y regular la seguridad de los datos de tarjetas de pago. Puedes investigar cuál es la entidad competente en tu jurisdicción y presentar una denuncia ante ellos. En México, por ejemplo, la Comisión Nacional Bancaria y de Valores (CNBV) es la entidad encargada de supervisar el cumplimiento de PCI y recibir denuncias relacionadas.

Recuerda que es importante proporcionar la mayor cantidad de detalles posibles al realizar una denuncia, como la fecha, lugar y descripción de los hechos, para que las autoridades
competentes puedan investigar adecuadamente el caso y tomar las medidas necesarias.

¡Suscríbete a nuestro boletín!

PCI DSS: La clave para proteger tus transacciones y resguardar tu tranquilidad financiera Leer más »