Idiso revalida la certificación PCI-DSS por quinto año consecutivo

Idiso revalida la certificación PCI-DSS por quinto año consecutivo

La seguridad es un activo que se debe trabajar de dentro a fuera y es la base de cualquier negocio. Por ello, certificarse como una empresa eficaz en tratamiento de datos de tarjeta nos da un valor añadido. Y más cuando se convierte en algo habitual.

El pasado 29 de mayo, y por quinto año consecutivo, Idiso Hotel Distribution ha sido reconocido con el certificado Payment Card Industry Data Security Standard (PCI DSS), por el almacenamiento de datos de las tarjetas de crédito para poder gestionar las reservas y la atención al cliente. Con ello, servicios y productos como Call Center y el Booking Engine de Idiso garantizan una atención más segura para los hoteles.

Como principal novedad, este año Idiso ha revalidado la certificación PCI DSS, tomando como referencia la versión 3.1 de la normativa, que ha obligado entre otras tareas a eliminar SSL como protocolo de comunicaciones seguras.

¿Qué es PCI DSS?

Desde 2006, la misión del PCI Security Standards Council es aumentar la seguridad de los datos de cuentas de pago mediante la promoción de la educación y el conocimiento sobre las Normas de seguridad de la PCI (Industria de tarjetas de pago). Las empresas fundadoras de esta organización son American Express, Discover Financial Services, JCB International, MasterCard y Visa, Inc. La gran ventaja de la implantación de la normativa PCI es que se ha conseguido unificar criterios a la hora de abordar la protección de los datos de tarjeta a partir del cumplimiento de 12 grandes requisitos:

1) Instalar y mantener una configuración segura del firewall

2) Evitar utilizar parámetros determinados por defecto

3) Garantizar la protección de los datos almacenados

4) Codificar los datos de las tarjetas a través de redes públicas abiertas

5) Actualizar constantemente las versiones de los antivirus

6) Desarrollar y mantener aplicaciones y sistemas seguros

7) Restringir el acceso de los clientes a determinados datos

8) Asignar una ID única a cada cliente

9) Limitar el acceso físico a los datos

10) Rastrear y monitorizar a todos los datos

11) Evaluar constantemente la seguridad del sistema

12) Apostar por una política de seguridad sólida; desde los datos de los trabajadores de la empresa hasta los clientes

Asimismo, para obtener la certificación PCI-DSS es necesario pasar escaneos de vulnerabilidades acreditados por expertos en seguridad (ASV). Idiso ha superado con éxito los exámenes en los que se exigen:

  • Escaneos de vulnerabilidades y sus posibles correcciones de nivel medio-alto
  • Evidencias técnicas del cumplimiento de los 12 requisitos tales como análisis de riesgos anual, planes de formación, demostraciones técnicas de configuración o presentar un plan de continuidad de negocios de garantías. Este punto se refiere a los protocolos de respuesta que tiene la empresa en caso de que se produzca alguna incidencia y sus posibles soluciones. Por ejemplo: si cae alguna de las centralitas del Contact Center la que queda operativa asume el control. De este modo, el servicio no se para.

Ernesto Juanico, Jefe de Seguridad de la Dirección de Sistemas de Información de Idiso, recalca que superar la auditoría PCI es un proceso costoso.

Mantener la certificación PCI DSS lleva mucho trabajo. Es un trabajo continuo. Cada año aprendemos del anterior, y en este año ha habido algunos cambios provocados por la nueva versión de la norma”, explica.

Asimismo, nuestro experto, señala que este certificado no es una tendencia pasajera, sino que ya se está consolidando. “Grandes empresas como Microsoft o Amazon, e importantes bancos como BBVA, Santander o La Caixa ya cumplen con esta normativa en sus servicios de pagos TPV,además la seguridad nunca es un capricho, es una necesidad, como demuestran multitud de casos”, concluye.

Cabe recordar los principales beneficios que Idiso ofrece a sus clientes al mantener esta certificación.

1) Protección de los datos de tarjeta de los clientes de los hoteles a los que presta servicios.

2) Mantenimiento de la confianza de los consumidores a través de un mayor nivel de seguridad de datos.

3) Disponer de un elemento diferenciador que puede suponer una ventaja competitiva en el mercado.

4) Salvaguarda de la reputación de marca

5) Disminución de las posibles pérdidas financieras y de imagen derivadas de riesgos de seguridad.

Aurelio Palmer, Director de Sistemas de Información de Idiso, explica la importancia vital de contar con este estándar para una empresa tecnológica del sector turístico. “Un año más, y ya van cinco, Idiso ha superado la auditoría anual para obtener la certificación PCI DSS. Con la colaboración y la implicación de todos los departamentos. Todos esos testeos específicos, primordiales, no valen de nada si las personas que después tratan con datos de tarjeta no son cuidadosos y no se implican en el cumplimiento de la normativa. La seguridad es cosa de todos. Por eso, es importante alinear a todos los equipos implicados (Call center, Back Office, equipos técnicos etc…) para que su trabajo día a día y su compromiso sean una demostración de excelencia”, indica.

Y añade: “Con más de 2.000.000.000 transacciones procesadas los últimos 12 meses, con una media de 0,16 segundos para peticiones de disponibilidad a través del CRS de Idiso provenientes de los motores de reserva, las conectividades, los GDSs, Contact Center… Está claro que la seguridad es un trabajo en equipo”.

Desde Idiso consideramos que la seguridad es una necesidad y nos comprometemos a seguir manteniendo la certificación PCI DSS cada año.