Una de las razones por las que las personas no hacen transacciones de valor a través de internet es por el riesgo de que haya una fuga de información que termine en el robo de su identidad y por supuesto en la compra no autorizada de productos.
En Colombia, aunque estos casos son escasos, para Guillermo Angarita, gerente de IQ Information Quality, empresa encargada de certificar que se cumplan con las normas de seguridad en pagos electrónicos, hace falta una regulación que exija tener estos certificados y que se reporten los casos en que hay pérdida de datos.
¿Qué es Information Quality?
Nosotros empezamos en 2005 prestando servicios de redes y comunicaciones y en 2006 nos especializamos en temas de seguridad de la información. En 2008 nos certificamos como una entidad certificadora de una norma internacional conocida como PCI-DSS que sirve para proteger la información del tarjetahabiente y mitigar los riesgos.
¿Qué pasa cuando hay fuga de información en tarjetas?
Se pueden hacer fraudes. El caso más sonado fue el de Target donde se robaron la información de 40 millones de tarjetas y eso es muy negativo para las empresas. De hecho los primeros tres meses después de la fuga las ventas de Target bajaron porque genera unos temas de reputación graves para la compañía, además de multas y que pierden clientes.
¿Cuáles empresas han certificado desde que tienen la licencia?
En este momento el primer banco certificado en Colombia es el Bbva hay otras compañías, como por ejemplo Emtelco que es el primer call center certificado y eso le permite a este sector vender servicios con pago a tarjeta y también exportar servicios, porque las compañías que buscan call centers en Colombia, siempre piden este certificado.
¿Qué debe hacer el comercio para garantizar que son seguras las transacciones?
Como comercio debo garantizar que las entidades con las que voy a compartir información de tarjetas cumplan con la norma. Se debe asegurar que la pasarela como son Pagos Online tengan el certificado, porque donde ellos no cumplan es el comercio el que debe responder. Además debo aplicar los controles de seguridad que la norma requiere.
¿Qué tan adelanto está Colombia en este tema?
Estámos empezando, son pocos los comercios certificados, nosotros certificamos a Alkosto y a Colsubsidio ahí hay mucho trabajo por hacer en ese sentido. Yo diría que menos de 10% del comercio está certificado. Entidades financieras, Credibanco y Mastercard están certificados y la mayoría de bancos están en procesos.
¿Hay alguna regulación frente al tema?
No lo hay. En este caso son las marcas de tarjetas las que adelantan la tarea. En países como Bolivia y México hay un tema regulatorio local donde se le pide a las entidades financieras que cumplan con eso.
¿Cuál es la importancia de que se tenga la regulación?
Colombia no está exenta de que ocurran fugas de información como en Estados Unidos lo que pasa es que aquí no hay divulgación, la idea es que estas medidas se implementen en las empresas para evitar que esto suceda, pues el impacto es muy fuerte en el sector. Aquí falta regulación para que las empresas sean obligadas a reportar, en EE.UU. las empresas están obligadas a reportar la fuga e incluso a llamar al usuario final y advertir del fraude, en Latinoamérica no existe eso y por eso no hay datos de los casos que se han presentado.
IQ, recibe el aval para certificar software de pagos
La nueva licencia adquirida tiene por objetivo verificar que se cumplan estrictamente los controles de seguridad en las aplicaciones de pago (programas de software que reciben y autorizan transacciones electrónicas), para garantía del comprador, el vendedor y los agentes intermediarios.
“Dado que las transacciones electrónicas manejan información sensible, el cumplimiento de esta norma minimizará el riesgo de fuga de información con la cual se podrían generar tarjetas fraudulentas o realizar compras ilegales por internet o teléfono”, asegura Angarita.
Es decir, se protegería en mayor medida la información de cerca de 16 millones de usuarios de tarjetas débito y crédito en el país. La norma tiene campo de aplicación en el comercio electrónico, la industria nacional de software y las aplicaciones móviles.
¿Qué es Information Quality?
Nosotros empezamos en 2005 prestando servicios de redes y comunicaciones y en 2006 nos especializamos en temas de seguridad de la información. En 2008 nos certificamos como una entidad certificadora de una norma internacional conocida como PCI-DSS que sirve para proteger la información del tarjetahabiente y mitigar los riesgos.
¿Qué pasa cuando hay fuga de información en tarjetas?
Se pueden hacer fraudes. El caso más sonado fue el de Target donde se robaron la información de 40 millones de tarjetas y eso es muy negativo para las empresas. De hecho los primeros tres meses después de la fuga las ventas de Target bajaron porque genera unos temas de reputación graves para la compañía, además de multas y que pierden clientes.
¿Cuáles empresas han certificado desde que tienen la licencia?
En este momento el primer banco certificado en Colombia es el Bbva hay otras compañías, como por ejemplo Emtelco que es el primer call center certificado y eso le permite a este sector vender servicios con pago a tarjeta y también exportar servicios, porque las compañías que buscan call centers en Colombia, siempre piden este certificado.
¿Qué debe hacer el comercio para garantizar que son seguras las transacciones?
Como comercio debo garantizar que las entidades con las que voy a compartir información de tarjetas cumplan con la norma. Se debe asegurar que la pasarela como son Pagos Online tengan el certificado, porque donde ellos no cumplan es el comercio el que debe responder. Además debo aplicar los controles de seguridad que la norma requiere.
¿Qué tan adelanto está Colombia en este tema?
Estámos empezando, son pocos los comercios certificados, nosotros certificamos a Alkosto y a Colsubsidio ahí hay mucho trabajo por hacer en ese sentido. Yo diría que menos de 10% del comercio está certificado. Entidades financieras, Credibanco y Mastercard están certificados y la mayoría de bancos están en procesos.
¿Hay alguna regulación frente al tema?
No lo hay. En este caso son las marcas de tarjetas las que adelantan la tarea. En países como Bolivia y México hay un tema regulatorio local donde se le pide a las entidades financieras que cumplan con eso.
¿Cuál es la importancia de que se tenga la regulación?
Colombia no está exenta de que ocurran fugas de información como en Estados Unidos lo que pasa es que aquí no hay divulgación, la idea es que estas medidas se implementen en las empresas para evitar que esto suceda, pues el impacto es muy fuerte en el sector. Aquí falta regulación para que las empresas sean obligadas a reportar, en EE.UU. las empresas están obligadas a reportar la fuga e incluso a llamar al usuario final y advertir del fraude, en Latinoamérica no existe eso y por eso no hay datos de los casos que se han presentado.
IQ, recibe el aval para certificar software de pagos
La nueva licencia adquirida tiene por objetivo verificar que se cumplan estrictamente los controles de seguridad en las aplicaciones de pago (programas de software que reciben y autorizan transacciones electrónicas), para garantía del comprador, el vendedor y los agentes intermediarios.
“Dado que las transacciones electrónicas manejan información sensible, el cumplimiento de esta norma minimizará el riesgo de fuga de información con la cual se podrían generar tarjetas fraudulentas o realizar compras ilegales por internet o teléfono”, asegura Angarita.
Es decir, se protegería en mayor medida la información de cerca de 16 millones de usuarios de tarjetas débito y crédito en el país. La norma tiene campo de aplicación en el comercio electrónico, la industria nacional de software y las aplicaciones móviles.