En 2022, "las tecnologías y servicios móviles generaron 5% del PIB, una contribución que ascendió a $5,2 billones", según la GSMA. Con tanto en juego -y con un crecimiento previsto de los monederos digitales de 15% hasta 2026-, garantizar la seguridad de los datos de pago nunca ha sido tan crucial.
Durante más de una década, la Consejo de Normas de Seguridad del Sector de Tarjetas de Pago (PCI SSC) ha estado a la vanguardia de la seguridad de los pagos digitales. El PCI SSC, un consejo mundial fundado en 2006 por American Express, Discover, JCB International, MasterCard y Visa Inc. impulsa la adopción de normas de seguridad de datos y proporciona recursos para mantener la seguridad de los pagos en todo el mundo.
El Consejo establece esas normas a través de la Payment Card Industry Data Security Standard (PCI DSS), un marco de cumplimiento que protege los datos de las cuentas de tarjetas de pago y el ecosistema de pagos en general. La última versión de sus directrices, PCI DSS 4.0, establecerá nuevas normas importantes para los pagos digitales al exigir la autenticación multifactor (MFA). Dado que "cada comerciante, independientemente del número de transacciones con tarjeta procesadas, debe cumplir la normativa PCI", estas nuevas directrices representan un cambio importante para las empresas de todo el mundo.
Así pues, repasemos cuándo las organizaciones deben pasar a PCI DSS 4.0, qué exige el nuevo marco, el valor que la AMF aporta a todas las organizaciones y las mejores formas de que las organizaciones implanten la AMF con rapidez y éxito.
PCI DSS v4.0 se publicó en marzo de 2022 e incluye varios cambios y actualizaciones significativos en comparación con su predecesora, la v3.2.1. Una de las actualizaciones más importantes de la última versión es que, aunque MFA tenía ha sido una práctica recomendada en versiones anteriores de la norma PCI DSS, la versión 4.0 requiere MFA para todas las cuentas que puedan acceder a los datos de los titulares de tarjetas después del 31 de marzo de 2025.
Las sanciones por incumplir la normativa PCI son elevadas. Aunque la PCI no es una ley, las infracciones de la normativa PCI DSS pueden costar entre $5.000 y $100.000. Y las propias compañías de tarjetas de crédito pueden cobrar comisiones más elevadas por las transacciones o incluso revocar el uso de una determinada tarjeta para pagos si una empresa incumple la normativa.
El requisito de MFA en PCI DSS v4 es una de las actualizaciones más grandes, valiosas e importantes para los comerciantes de todo el mundo. La AMF es un componente fundamental de la arquitectura de ciberseguridad: la Informe de Verizon sobre investigaciones de filtraciones de datos 2023 descubrió que "el uso de credenciales robadas se convirtió en el punto de entrada más popular para las brechas" en los últimos cinco años. La AMF podría haber evitado muchas -si no todas- las brechas que comenzaron con una credencial robada.
Tan importante como el origen de las filtraciones de datos es el motivo por el que actúan los ciberdelincuentes: Verizon descubrió que "los motivos financieros siguen impulsando la gran mayoría de las filtraciones". De hecho, los motivos económicos impulsaron el 94,6% de todas las filtraciones el año pasado. Dado que la mayoría de los ciberdelincuentes siguen el dinero, es probable que ataquen la información y la infraestructura de pago que transmite miles de millones de dólares cada año.
La AMF puede impedir que los ciberdelincuentes utilicen una credencial robada para obtener acceso no autorizado y filtrar información confidencial o datos de tarjetas de pago. La AMF añade una capa adicional de seguridad al exigir a los usuarios que proporcionen dos o más factores diferentes para acceder a un recurso. Puede ser algo que sepan (como una contraseña de un solo uso), algo que tengan (como una tarjeta inteligente o un dispositivo móvil) o algo que sean (lo que incluiría la verificación biométrica). Si se aplica la AMF, aunque un ciberdelincuente robe o suplante la contraseña de un usuario, exigir un factor adicional puede impedirle acceder a recursos o aplicaciones seguros.
Dado que muchas de las violaciones de datos comienzan con la vulneración de contraseñas y que la AMF podría haber evitado muchas de ellas, la AMF es una de las mejores prácticas de ciberseguridad más duraderas: Las soluciones de AMF son requisitos en mandatos gubernamentales en materia de ciberseguridad y ciberseguros. Además de garantizar el cumplimiento de las normas y la seguridad de las organizaciones, la AMF también puede ayudar a la cuenta de resultados de una organización: el Informe de IBM sobre el coste de la filtración de datos en 2023 descubrió que las filtraciones de datos cuestan una media de $4,45 millones.
La AMF ofrece grandes ventajas a las organizaciones: crea una postura de ciberseguridad más sólida, evita las filtraciones de datos, protege los resultados de una organización, mantiene la confianza de los clientes y evita que las empresas incurran en multas. En definitiva, el cumplimiento de la normativa PCI en general y la implantación de la AMF en particular presentan ventajas considerables.
Y otra buena noticia: La implementación de MFA no tiene por qué ser un esfuerzo oneroso. RSA ofrece una gama de opciones de AMF, entre las que se incluyen la autenticación biométrica, la autenticación push-to-approve, la autenticación con contraseña de un solo uso y la autenticación basada en FIDO, que pueden ayudar a las organizaciones a cumplir los nuevos requisitos de AMF de la norma PCI DSS 4.0. Como parte de ID Plus, RSA MFA puede extenderse incluso a entornos locales, multicloud e híbridos.
Pruébelo usted mismo: regístrese en una prueba gratuita de 45 días de ID Plus para probar la AMF mediante AMF, OTP, sin contraseña y mucho más.
