¿Por qué los contact center & BPO deben cumplir con PCI-DSS?

En un entorno donde los fraudes digitales y el robo de datos son cada vez más comunes, los contact center & BPO en México enfrentan un reto urgente: garantizar la seguridad de la información que procesan a diario. La certificación PCI-DSS se ha convertido en un requisito clave para los call centers, especialmente aquellos enfocados en cobranza, atención al cliente y servicios financieros.

Ante los crecientes eventos de robo de información y ataque a los sistemas de las empresas con los altos costos financieros y el impacto en la imagen y la confianza de las empresas, la inversión en seguridad no es una opción sino una medida absolutamente necesaria. Conoce los beneficios de PCI-DSS.

Si quieres conocer más sobre este tema, visita aquí nuestro withepaper.

En los años recientes, el robo de información, los fraudes cibernéticos y los ataques a los sistemas institucionales han crecido de manera dado el involucramiento del crimen organizado.

Según Forbes, México registró 300,868,532 ataques de malware en el último año (octubre de 2018 al mismo mes de 2019), lo que representó un incremento de 31% comparado con el periodo anterior, con lo que se posiciona en la segunda región que más ataques cibernéticos registró en América Latina y el noveno a nivel mundial.

La Comisión Nacional Bancaria y de Valores (CNBV). Del total de intentos de ciberataques en contra de bancos, socaps, sofipos y fintechs, más de 40% tuvo éxito. La respuesta y recuperación ante estos ciberataques tuvo un costo para estas instituciones de alrededor de $ 107 millones de dólares durante el 2018, lo que representa entre 1 y 1.7% del EBITDA que generaron el año
inmediato anterior.

Esta situación, ha generado preocupación mundial, provocando que diferentes industrias se unan para determinar cuáles son los estándares que las empresas deben adoptar para garantizar la seguridad de la información, de sus sistemas y transacciones, definiendo dos certificaciones principales PCI-DSS e ISO 27001.

1. ¿QUÉ ES PCI-DSS?

El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard), conocido como PCI-DSS, es una certificación creada para proteger los datos de tarjetahabientes. Esta norma es especialmente relevante para los contact center & BPO que procesan, almacenan o transmiten datos de tarjetas bancarias.

Fue desarrollada por el PCI Security Standards Council, conformado por las principales marcas de tarjetas del mundo. Obtener esta certificación demuestra el compromiso de una organización con la protección de la información sensible del cliente.

1. ¿CONTEXTO DE CYBERSEGURIDAD EN MÉXICOCÓ

Según Forbes, México registró más de 300 millones de ataques de malware entre 2018 y 2019, posicionándose como el segundo país con más ciberataques en América Latina y el noveno a nivel mundial.

La CNBV reportó que más del 40% de los intentos de ciberataques a instituciones financieras (incluyendo bancos y fintechs) fueron exitosos, provocando pérdidas por más de 107 millones de dólares.

Este escenario ha impulsado a las industrias —especialmente los contact center & BPO que manejan datos financieros— a adoptar estándares internacionales como PCI-DSS e ISO 27001.

3. ¿CÓMO SE PUEDE OBTENER CADA NIVEL?

Cada nivel tendrá un grado de dificultad distinto que depende de los requerimientos que exige el estándar, por lo que no todas las organizaciones pueden alcanzar el nivel 1, el cual es que el garantiza los más altos niveles de seguridad.

A continuación enlistamos los niveles y sus requerimientos particulares:

Como observamos en la tabla anterior, los niveles 3 y 4 en realidad no implican que un centro sea seguro, es sólo el inicio del proceso. El proceso de certificación que una organización debe cumplir para estar dentro del estándar PCI-DSS nivel 1 es largo y costoso; sin embargo, los riesgos económicos de no cumplir con la normativa del nivel 1 son astronómicos.

3. ¿CUÁLES SON LOS PUNTOS DE SEGURIDAD QUE BUSCA CUIDAR PCI-DSS?

PCI engloban la monitorización y control del negocio, clima de seguridad, gestión de incidentes, control de proveedores, gestión de riesgos y seguridad integral.

Estos puntos de seguridad se desarrollan en 12 controles descritos por PCI DSS:

1. Instalar y mantener una configuración de firewall para proteger los datos de los titulares de tarjetas.
2. No utilizar los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
3. Proteger los datos almacenados de los titulares de tarjetas.
4. Cifrar la transmisión de los datos de los titulares de tarjetas a través de redes públicas abiertas.
5. Usar y actualizar con regularidad el software antivirus.
6. Desarrollar y mantener sistemas y aplicaciones seguras.
7. Limitar el acceso a los datos de los titulares, únicamente a lo que los negocios necesiten saber.
8. Asignar una identificación única a cada persona con acceso a una computadora.
9. Restringir el acceso físico a los datos de los titulares de tarjetas.
10. Rastrear y monitorear todo acceso a los recursos de la red y a los datos de titulares de tarjetas.
11. Probar con regularidad los sistemas y procesos de seguridad.
12. Mantener una política que aborde la seguridad de la información.

Estos controles implican más de 300 puntos de revisión, aplicables a sistemas físicos, lógicos y procesos internos. Son especialmente cruciales para call center & BPO que operan en sectores como banca, seguros o retail.

4. ¿CÓMO LLEGO A LA CERTIFICACIÓN?

Etapa I. Preparación interna

La etapa interna consiste en preparar a la organización en todos sus aspectos para este proceso de certificación, no solo los sistemas, también los procesos y por supuesto a las personas. Las actividades son:

- Definición del alcance: La organización deberá decidir el alcance de esta certificación, puede ser por un proyecto determinado o bien de sitio, deberá considerar que según el alcance será la inversión y el tiempo.

- Responsables: Tendrán que definir responsables tanto de coordinar la implementación, como un comité de seguimiento a la misma. Este comité deberá de ser integrado principalmente por la alta dirección de la compañía para obtener el apoyo necesario.

- Adecuación de sistemas lógicos, físicos y procesos: El proceso de PCI se basa un 80% o más en la revisión de la seguridad de los sistemas lógicos y que esta seguridad sea consistente, basada en procesos. El costo de adecuación de un centro de datos, adquisición de sistemas, licencias, software de monitoreo, herramientas de control, CCTV, controles de acceso como arcos de seguridad, torniquetes, biométricos, servidores, antivirus, entre otros; puede representar de 7 a 10 mdp de inversión inicial, más los costos que provengan de la auditoría propia y el mantenimiento del certificado, considerando se trate de una “organización madura”, de lo cual hablaremos más adelante.

- Conciencia humana: Si el recurso no es consciente del impacto la certificación, está no se logrará. Es necesario desarrollar cursos de inducción y de formación continua para el personal en general y de especialización para personal clave como auditores internos y personal de TI. Nuevamente, se deberán tomar en cuenta los costos que esto implica, que pueden ir desde los 5 mil pesos por persona hasta los 60 mil pesos dependiendo el tipo de curso a ejecutar.

- Auditoría Interna: Para este momento la organización debería de estar en un avance mayor al 90% de implementación de controles, haber designado responsables y capacitado a los recursos. Se deberá realizar un escaneo interno de vulnerabilidad y los auditores internos designados deberán realizar entrevistas con cada responsable buscando el cumplimiento marcado por el estándar.

- Mitigación de Vulnerabilidades: Del resultado de la auditoria interna y escaneo de vulnerabilidad, se deben generar planes de acción que servirán para mitigar los riesgos detectados y como evidencia para presentar al momento de la auditoria para la certificación.

Etapa II. Auditoria y certificación

Una vez que se han implementado los 12 controles de PCI-DSS, se deberá cumplir un proceso de auditoria exhaustivo.

Esta etapa se dividirá en 5 actividades:

Los costos de esta auditoria presencial para obtener PCI-DSS Nivel 1 podrían ir desde los 2 MDP hasta 5 MDP, según el alcance definido. Una vez obtenida esta certificación deberán existir escaneos trimestrales que se envían a la certificadora para demostrar la continuidad del nivel de los controles implementados, si se llegará a incumplir podría existir incluso la cancelación del certificado.

Beneficios para un Contact Center Certificado

Mayor confianza de clientes y socios
Acceso a contratos con empresas financieras o internacionales
Reducción de riesgos legales y reputacionales
Diferenciador competitivo clave para los contact center & BPO en México

Cumplir con PCI-DSS no solo es una obligación para proteger los datos, también es una ventaja competitiva para los contact center & BPO que desean ofrecer servicios de alta calidad y seguridad. En un contexto de transformación digital y aumento de ciberataques, esta certificación es una inversión crítica para el futuro.

¿Tu call center está listo para cumplir con los más altos estándares de seguridad?

Contáctanos y te ayudamos a lograr la certificación PCI-DSS con la asesoría y acompañamiento de expertos.

¡Conoce recomendaciones para obtener la certificación PCI-DSS descargando nuestro whitepaper!

Blog contact center

Beneficios para un Contact Center Certificado

Escrito por: Pentafon