Los fraudes con tarjetas de crédito en todo el mundo no dan tregua. Solo en el 2018 se registraron delitos por el orden de los US$31.260 millones, y para este año la cifra aumentaría a los US$32.820 millones (1). Ante este panorama es urgente quelas compañías que procesan, guardan o transmiten datos de tarjetas cumplan con los más altos estándares en la protección de información financiera de sus clientes a nivel global.
IMPESA, fintech de Costa Rica con experiencia local e internacional, y tras un largo proceso se convirtió en la primera empresa de su rama que logra la certificación PCI-DSS, mejor conocida en español como Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard). Dos empresas más de otras áreas cuentan con esta certificación.
El PCI-DSS es un sello de confiabilidad y calidad al más alto nivel desarrollado por un comité conformado, desde el 2004, por las compañías de tarjetas más importantes del mundo: Visa, MasterCard, Discover Financial Services, JCB International y American Express.
Los comerciantes y proveedores de servicios de tarjetas de crédito deben validar su cumplimiento con el estándar en forma periódica, bajo la supervisión y regulación de los auditores del comité de alto nivel, los mismos que evaluaron el cumplimiento de una serie de requisitos por parte de IMPESA, que fue certificada por la empresa GM Security Technologies.
"Con esta certificación PCI-DSS y después de un año de trabajo exhaustivo y meticuloso, nuestra fintech da un paso adelante en la protección de los datos financieros de quienes cada día usan tarjetas de crédito", indicó Mario Hernández, CEO y fundador de IMPESA.
Para lograr la PCI-DSS, IMPESA cumplió con 12 requisitos -a lo largo de un año-, siempre bajo el escrutinio de los auditores autorizados Qualified Security Assessor. Por tratarse de una certificación sobre seguridad de la información, se debe abarcar toda la organización: desde las áreas de tecnología hasta las áreas de negocio y de recursos humanos.
Sin una visión estratégica y sin el involucramiento del alto nivel ejecutivo es probable que ninguna organización obtenga la certificación a la primera. IMPESA sí logró esta meta.
Primero se ejecutó un análisis con respecto a PCI-DSS 3.2; este análisis ofreció una perspectiva completa de cuán avanzada estaba la organización y dónde la firma tenía que enfocarse primero. Ese análisis mostró, además, la posición de seguridad de la información como empresa. Luego se trabajó en la base principal de la certificación, que es la normativa de seguridad.
Esta normativa incluye políticas, procesos, procedimientos y estándar que gobiernan cada unos de los diferentes objetivos. Cada uno de los 12 objetivos PCI-DSS deben estar alineados bajo esta normativa.
En tecnología se revisó la seguridad en redes y telecomunicaciones, protección de la información sensible, transmisión segura de información sobre redes públicas, protección de ataques tipo malware, restricción lógica a la información sensible y confidencial, autenticación y autorización a los componentes en el alcance, y el monitoreo de toda la infraestructura.
Con el proveedor de seguridad de IMPESA, se trabajó con la meta de probar los controles de seguridad creados, escaneos de vulnerabilidad y pruebas de penetración. En las áreas de negocio, el acceso físico a las instalaciones, la modificación de contratos de trabajo, la instalación de videovigilancia y gestión de proveedores.
Con recursos humanos, la conciencia de seguridad de la información sobre todos los colaboradores, además de aceptación de políticas y verificaciones de antecedentes. Por último, y uno de los temas más importantes, con la alta gerencia y la junta directiva se estableció un charter para PCI con temas, presupuesto y posición de seguridad desde este nivel.
La ejecución paralela de muchos objetivos, el compromiso de la alta gerencia, la calidad humana y profesional del equipo IMPESA, así como toda la inversión que se hizo, hicieron posible obtener la certificación en tiempo récord.
"IMPESA refrenda su excelencia y compromiso con la seguridad de los tarjetahabientes, quienes cada vez más se exponen a numerosos riesgos, sobre todo con el comercio electrónico", agregó Hernández.
La compañía fue fundada en junio de 2013. Cuenta con sede en Costa Rica, luego se expandió a Nicaragua, Guatemala, Panamá y República Dominicana. IMPESA tiene la licencia de miembro principal de Visa®. Es desarrolladora de soluciones y herramientas que otorgan ventajas competitivas al sector financiero. IMPESA ha desarrollado productos como Monibyte, Layla, Brainert y Kipo.
