27 junio 2007

PCI - DSS: Una realidad

Ya he comentado anteriormente algo en relación al estándar creado por las marcas de tarjetas para tratar de evitar los robos masivos de información de titulares de tarjetas: PCI-DSS - Data Security Standard. Lo cierto es que se trataba (obsérvese el tiempo pasado) de un estándar que estaba encontrando muchas dificultades para ser implementado / exigido de forma efectiva en el mercado español.

Al margen de otras particularidades, lo cierto es que el mercado español (no sé si se trata de una característica común de lo latino) se distingue por hacer las cosas, no por ser una best practice, sino cuando son obligatorias (véase, la LOPD). En realidad, como comenta Bruce Schneier, para invertir en seguridad hemos de tener algún tipo de incentivo: mayor rentabilidad, menor riesgo... lo que sea, pero tiene que "compensar" (de nuevo me asalta Goldratt: "Cuando contribuya a obtener más meta para la organización"). Ahora, parece ser que alguna de las marcas de tarjetas ha empezado a imponer multas (algo insignificante... ¡¡¡50.000$/día!!!) a las entidades financieras que no puedan demostrar que los comercios que tramitan las operaciones a través suyo, cumplen con lo requerido en el estándar.

En definitiva, ahora (igual que ocurrió con la LOPD) las organizaciones tienen clarísimo que existe un coste por no cumplir con una norma y pueden valorar el coste de la no-seguridad.

No sé si es bueno o malo. Lo único que sé es que, ahora, a todo el mundo le entra prisa por demostrar que cumple con el estándar (no digo que no lo cumplieran, digo que quieren demostrar que cumplen).

No hay comentarios: