Tiempo de lectura aprox: 2 minutos, 21 segundos
Mastercard advirtió hace varios meses que los bancos que utilizaran el sistema de PROSA México para la operación de transacciones electrónicas podrían incurrir en fallas y multas hasta por 200,000 dólares.
De acuerdo con documentos de Mastercard, Promoción y Operación S.A. de C.V (PROSA), incumplió con las certificaciones de los estándares aceptados para operar con plataformas y sistemas de pago, conocidos como PCI DSS.
Las Normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS) se desarrollaron para fomentar y mejorar la seguridad de los datos del titular de la tarjeta y facilitar la adopción de medidas de seguridad uniformes a nivel mundial.
Las PCI DSS proporcionan una referencia de requisitos técnicos y operativos desarrollados para proteger los datos de los titulares de tarjetas.
Las PCI DSS se aplican a todas las entidades que participan en el procesamiento de tarjetas de pago, entre las que se incluyen comerciantes, procesadores, adquirientes, entidades emisoras y proveedores de servicios, como también todas las demás entidades que almacenan, procesan o transmiten CHD (datos del titular de la tarjeta) o SAD (datos de autenticación confidenciales).
En febrero alertó Mastercard
Desde febrero pasado, Vivian Baker, responsable de la relación de Mastercard con la banca mexicana, advirtió que Prosa no cumplía con dichos estándares y que había ciertos riesgos asociados a su operación.
“Las multas que pudieran aplicarse a los clientes que utilicen los servicios de PROMOCIÓN Y OPERACIÓN S.A. de C.V. por este incumplimiento al programa SDP pueden oscilar entre 25,000 dólares y 200,000 dólares, tal como establecen las Reglas de Mastercard Capítulos 2,2.1.3 y 2.1.4”, dijo Mastercard a sus clientes.
Desde febrero pasado, Mastercard señaló que necesitaba que empresas intermediarias como Prosa, que opera como un proveedor de servicios, cumpliera con los estándares de PCI-DSS.
PROSA tenía que realizar una certificación anual por una empresa asesora de Seguridad Calificada, certificada por el Consejo de Estándares de Seguridad. También debía aplicar un escaneo trimestral de vulnerabilidad externa de sus redes por una empresa homologada como ASV (Approved Scanning Vendor).
En febrero de 2019, Mastercard había decidido eliminar a PROSA de la lista del programa de proveedores certificados hasta que no culminara sus certificaciones.
Esa situación, agregó Mastercard, generaba vulnerabilidades en los procesos de seguridad, procesamientos y configuraciones internas así como en las transacciones de quienes operan con ella.
Antes, en noviembre de 2018, PROSA trató de convencer a varios de sus clientes bancarios que estaba invirtiendo los recursos necesarios para cumplir con los “planes de remediación” ante la empresa calificadora Qualified Security Assessors, en los cuales estipula los planes de trabajo con fechas establecidas, las cuales van en tiempo y forma para obtener la certificación en octubre del año pasado.
No sucedió.
PROSA también informó que con el sistema VISA logró un acuerdo para detener penalizaciones que pretendían aplicar a algunos bancos con los que trabaja PROSA. El acuerdo se logró luego del compromiso de PROSA de avanzar conforme al plan para la certificación, esfuerzo similar al que realizaban aparentemente con PROSA.
Rubén Rinconí. director de seguridad de la Información de PROSA aseguró, sin embargo, dijo que dependería de la buena voluntad de las marcas para lograr los acuerdos.
PROSA aseguró, sin embargo, aseguró que la falla masiva había sido resultado de una interrupción en el suministro de energía eléctrica.
