¡No sin mi VISA!

Hay cosas que no tienen precio, pero son las menos… sobre todo en este mundo globalizado, donde podemos adquirir cualquier bien o servicio de forma inmediata, presencialmente o a través de Internet.

Cada vez existen más posibilidades para pagar, especialmente en comercio electrónico, y el futuro inmediato nos traerá muchas más opciones. Pero a día de hoy la tecnología que utilizamos todos para nuestras compras, presenciales y online, es principalmente la tradicional tarjeta de plástico.

En España hay 69 millones de tarjetas en circulación y 1,5 millones de terminales en los comercios, que en 2011 gestionaron más de 2.232 millones de transacciones, por un importe global superior a 98.267 millones de euros (fuente: Banco de España).

Los números hablan por sí mismos respecto a la relevancia de este negocio, donde participan distintos actores. Vamos a conocerlos, para entender el ecosistema en el que se gestionan nuestros pagos con tarjeta.

Marcas internacionales: las principales son VISA y Mastercard, que definen las reglas del mercado. American Express y JCB tienen también una presencia relevante en determinados sectores, fuera del mercado español.

Entidades Financieras, que tienen un doble papel

• Emiten en nombre de VISA y Mastercard las tarjetas (rol Emisor) a sus clientes.
• Proporcionan a los comercios los terminales y la gestión del pago con tarjetas (rol Adquirente)

Procesadores: Redsys (entidad resultante de la fusión de Sermepa y 4B) y CECA gestionan la interconexión entre las distintas Entidades Financieras que participan en una transacción, ofreciendo además otros servicios (como la liquidación de las tasas que se intercambian por operación, o la instalación y mantenimiento de los terminales en los comercios).

Proveedores de servicio: gestionan el enrutamiento de las transacciones desde los comercios a los distintos procesadores, aportando además servicios de valor añadido (uso de tarjetas privadas, modalidades de pago aplazado, etc).

Artículo relacionado:  El Futuro del Shopping y los Medios de Pago: 5 claves que debes conocer

Todos estos actores intervienen en el procesamiento de una transacción, compartiendo entre ellos los ingresos derivados del negocio de emisión (tasa de intercambio, que paga la entidad adquirente a la entidad emisora de la tarjeta con la que ha pagado el cliente en dicho comercio) y adquirencia (la comisión que paga el comercio a su entidad por cada transacción generada, denominada tasa de descuento).

El siguiente diagrama recoge, de forma simplificada, la relación entre todos ellos para realizar una venta típica con tarjeta en un comercio.

En los últimos tiempos se está produciendo una importante revolución en el sector, provocado por la necesidad de competir en valor y no en precio. Todas las empresas buscan la forma de capturar clientes ofreciendo servicios por los que son capaces de pagar un extra, diferenciándose de su competencia y buscando el establecimiento de “relaciones afectivas” que son uno de los aspectos clave para la fidelización.

Obviamente, en todo este ecosistema la seguridad es un principio básico, centrándose los esfuerzos en la custodia de los datos de tarjeta: PAN (PrimaryAccountNumber, es decir, los 15 dígitos del número de tarjeta), CVV2 (CardVerificationValue, número de tres dígitos impreso en el reverso de la tarjeta, y que se utiliza para validar su posesión para compras online), etc.

Desde 2011 toda entidad que procese, transmita o almacene datos de tarjeta tiene que cumplir obligatoriamente con el estándar PCI-DSS (Payment Card Industry – Data Security Standard, Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago), definido por el PCI Security Standars Council (PCI SCC) al que pertenecen entre otros VISA y Mastercard.

Es extremadamente importante tener en cuenta que la norma aplica a todos los actores que intervienen en el procesamiento de una transacción con tarjeta, no sólo a las Entidades Financieras, también a los comercios (en distinto grado en función del volumen de transacciones que generan), proveedores de servicios, procesadores, fabricantes de terminales, desarrolladores de software, etc.

La norma PCI-DSS, actualmente en su versión 2, recoge una serie de requisitos agrupados en 12 bloques con el objetivo degarantizar la seguridad en el uso de la información de tarjeta. Recomiendo encarecidamente el vídeo “PCI Rock” generado por el PCI SSC que presenta de forma sencilla y amigable en qué consiste la norma (sí, he dicho amigable… ¡ya sé que para aquellos que conozcáis el estándar, puede ser extraño ver ambas palabras en la misma frase!).

Toda empresa que participe en este ecosistema de pagos con tarjeta debe no sólo obtener la certificación, sino demostrar que aplica de forma rigurosa y contínua todos los requisitos, auditándose con periodicidad anual dicho cumplimiento para poder renovar la certificación, y por tanto, para realizar pagos con tarjeta.

La lista de proveedores de servicio certificados en la norma PCI-DSS se encuentra publicada en VISA y Mastercard, actualizándose mensualmente para incluir nuevas empresas, identificar aquellas que han sobrepasado el período obligatorio anual de renovación (aparecen en color naranja/rojo en la lista hasta un máximo de 90 días después de haber “caducado” el período), y eliminando de la lista las que no han conseguido renovarlo.

Estas listas definen los proveedores con los que toda empresa debe trabajar si quiere cumplir el estándar PCI-DSS, ¡no hacerlo tiene importantes implicaciones en caso de fraude y robo de información de tarjetas! En España únicamente están publicados en dichas listas los procesadores (Redsys y CECA), Ingenico (tras la adquisición de First Data Ibérica) y Telefónica.

En posteriores artículos profundizaremos en detalle sobre la norma y el proceso, para dar a conocer las implicaciones de su cumplimiento (o incumplimiento) en todos los puntos de la cadena (comercios, proveedores de servicio, entidades financieras, fabricantes de terminales, etc), y cual es la evolución del estánndar a medio/largo plazo.

Constantemente aparecen en los medios noticias sobre el robo de datos de tarjetas , incluyendo también empresas que estaban formalmente certificadas en la norma PCI-DSS , con resultados desastrosos en términos económicos y de reputación.

Habitualmente vemos estos casos como algo que no nos puede pasar a nosotros… pero no nos engañemos, a título personal corremos un riesgo cada vez que pagamos (presencialmente, o por Internet) y debemos exigir hacerlo con garantías de seguridad. Y  como empresas, todas aquellas que ofrecen sus productos o servicios por Internet permitiendo el pago con tarjeta deben verificar hasta qué punto están afectadas por el cumplimiento de la normativa PCI-DSS, porque tened por seguro que lo estáis, y podéis adoptar medidas para evitar o mitigar este riesgo.

Imagen: Flickr Robert Scoble