Mastercard advirtió hace varios meses que los bancos que utilizaran el sistema de PROSA México para la operación de transacciones electrónicas podrían incurrir en fallas y multas hasta por 200,000 dólares.

De acuerdo con documentos de Mastercard, Promoción y Operación S.A. de C.V (PROSA), incumplió con las certificaciones de los estándares aceptados para operar con plataformas y sistemas de pago, conocidos como PCI DSS.

El pasado 10 de agosto se registró un incidente en la operación de la cámara de
compensación para pagos con tarjetas  PROSA que afectó la prestación de diversos servicios objeto de esta entidad, incluido el procesamiento de solicitudes de autorización de operaciones con tarjetas de crédito y débito tanto en terminales punto de venta como en cajeros automáticos.
Dicho incidente afectó la operación entre las 10:47 y las 18:17 horas en diferente
medida. De acuerdo con la información disponible hasta el momento, el referido
incidente se debió a problemas operativos relacionados con la infraestructura
eléctrica de PROSA.
El Banco de México, actuando conforme a sus facultades y siguiendo los procesos
establecidos está realizando las acciones de supervisión e investigación necesarias
para verificar el cabal cumplimiento de las disposiciones que le resultan aplicables
a la citada cámara de compensación.
El Banco Central continuará promoviendo el buen funcionamiento de los sistemas de pagos.

Las Normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS) se desarrollaron para fomentar y mejorar la seguridad de los datos del titular de la tarjeta y facilitar la adopción de medidas de seguridad uniformes a nivel mundial.

Las PCI DSS proporcionan una referencia de requisitos técnicos y operativos desarrollados para proteger los datos de los titulares de tarjetas.

Las PCI DSS se aplican a todas las entidades que participan en el procesamiento de tarjetas de pago, entre las que se incluyen comerciantes, procesadores, adquirientes, entidades emisoras y proveedores de servicios, como también todas las demás entidades que almacenan, procesan o transmiten CHD (datos del titular de la tarjeta) o SAD (datos de autenticación confidenciales).

En febrero alertó Mastercard

Desde febrero pasado, Vivian Baker, responsable de la relación de Mastercard con la banca mexicana, advirtió que Prosa no cumplía con dichos estándares y que había ciertos riesgos asociados a su operación.

“Las multas que pudieran aplicarse a los clientes que utilicen los servicios de PROMOCIÓN Y OPERACIÓN S.A. de C.V. por este incumplimiento al programa SDP pueden oscilar entre 25,000 dólares y 200,000 dólares, tal como establecen las Reglas de Mastercard Capítulos 2,2.1.3 y 2.1.4”, dijo Mastercard a sus clientes.

Desde febrero pasado, Mastercard señaló que necesitaba que empresas intermediarias como Prosa, que opera como un proveedor de servicios, cumpliera con los estándares de PCI-DSS.

PROSA tenía que realizar  una certificación anual por una empresa asesora de Seguridad Calificada, certificada por el Consejo de Estándares de Seguridad. También debía aplicar un escaneo trimestral de vulnerabilidad externa de sus redes por una empresa homologada como ASV (Approved Scanning Vendor).

En febrero de 2019, Mastercard había decidido eliminar a PROSA de la lista del programa de proveedores certificados hasta que no culminara sus certificaciones.

Esa situación, agregó Mastercard, generaba vulnerabilidades en los procesos de seguridad, procesamientos y configuraciones internas así como en las transacciones de quienes operan con ella.

Antes, en noviembre de 2018, PROSA trató de convencer a varios de sus clientes bancarios que estaba invirtiendo los recursos necesarios para cumplir con los “planes de remediación” ante la empresa calificadora Qualified Security Assessors, en los cuales estipula los planes de trabajo con fechas establecidas, las cuales van en tiempo y forma para obtener la certificación en octubre del año pasado.

No sucedió.

PROSA también informó que con el sistema VISA logró un acuerdo para detener penalizaciones que pretendían aplicar a algunos bancos con los que trabaja PROSA. El acuerdo se logró luego del compromiso de PROSA de avanzar conforme al plan para la certificación, esfuerzo similar al que realizaban aparentemente con PROSA.

Rubén Rinconí. director de seguridad de la Información de PROSA aseguró, sin embargo, dijo que dependería de la buena voluntad de las marcas para lograr los acuerdos.

PROSA aseguró, sin embargo, aseguró que la falla masiva había sido resultado de una interrupción en el suministro de energía eléctrica.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.