El primer programa de su clase en la industria, el Programa de Innovación Tecnológica (TIP) de Visa eliminará el requisito que requiere que los comercios elegibles validen anualmente su cumplimiento con PCI DSS en cualquier año en que al menos un 75 por ciento de las transacciones Visa del comercio se originen en terminales habilitadas con chip. Todos los comercios afuera de los Estados Unidos pueden calificar para el nuevo programa a partir del 31 de marzo de 2011. Visa Europa ha anunciado un programa similar.

“Visa ha resaltado repetidamente la necesidad de contar con soluciones de autenticación para movernos hacia las tecnologías de datos dinámicos como el chip EMV”, señaló Ellen Richey, jefe de Riesgo de Visa Inc. “Aunque la tasa global de fraude de Visa sigue estando a un nivel históricamente bajo de menos de 6 centavos por cada $100 dólares en transacciones, consideramos que en materia de seguridad el futuro radica en los datos dinámicos. Nuestra experiencia sugiere que a medida que los mercados se mueven hacia la adopción del chip se van haciendo menos vulnerables al fraude por falsificación y, en última instancia, a los ataques que intentan comprometer la seguridad de los datos a escala masiva”.

A pesar del interés de la industria en chip y la autenticación dinámica de datos, el programa no está disponible actualmente en los Estados Unidos debido a la incertidumbre en el mercado generada por la reciente regulación de débito.

El programa está disponible para comercios internacionales que hayan validado previamente su cumplimiento con la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago, proporcionado un plan para lograr dicho cumplimiento o que no hayan estado involucrados recientemente en ninguna violación importante de la seguridad de los datos. Los comercios involucrados en cualquier incidente de seguridad podrían ser elegibles para participar si posteriormente validan su cumplimiento con la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago.

Los comercios que no llenen los requisitos de colocación de terminales del programa EMV, incluyendo aquellos establecimientos cuyo volumen transaccional procede primordialmente de canales de aceptación de comercio electrónico y órdenes por correo y teléfono, están aún sujetos al requisito de validar anualmente su cumplimiento con la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago, de acuerdo con los programas de cumplimiento de Visa.

Los comercios que llenen los requisitos deberán continuar protegiendo cualquier tipo de datos confidenciales que quede bajo su cuidado asegurando que sus sistemas no guarden datos de pistas, códigos de seguridad o Números de Identificación Personal (PINs), y deberán continuar adhiriéndose a la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago según sea aplicable. En Visa.com/CISP se pueden encontrar más detalles acerca del programa, así como una lista completa de requisitos de elegibilidad.

“El chip EMV es una plataforma tecnológica probada que puede ofrecer a la industria la habilidad de facilitar los datos dinámicos, y además habilitar innovaciones de pago”, dijo Jim McCarthy, Director Global de Productos de Visa Inc. “Además, la adopción de los comercios de terminales de interfaz dual para pagos con y sin contacto apoyarán el surgimiento de factores de forma de pago basados en la tecnología de NFC o comunicación de campos cercanos, incluyendo los pagos con dispositivos móviles”.

Antecedentes

Como resultado de una creciente focalización en la seguridad de los datos, la comercialización de nuevas tecnologías de seguridad como la encriptación y el uso de tokens, así como la adopción cada vez más amplia del chip EMV a nivel mundial, muchos comercios buscan orientación y guía a fin de asegurar que estén invirtiendo para el futuro al mejorar sus ambientes de aceptación de pagos. Puesto que Visa reconoce los beneficios en la seguridad que trae la autenticación de datos, habilitada por chip, esto ofrece beneficios tangibles a los comercios que transformen o expandan su infraestructura de punto de venta para habilitar la aceptación del chip. Como parte del ciclo de renovación de terminales o al incorporar las nuevas tecnologías de seguridad como la encriptación o el uso de tokens, Visa motiva a los comercios a moverse en dirección de los datos dinámicos adoptando terminales duales con/sin contacto.

En el mundo entero Visa continúa brindando soporte a diversos métodos de verificación del tarjetahabiente que incluyen la firma, el PIN o clave personal y la aprobación sin firma de transacciones de pequeño valor y bajo riesgo, manteniendo la interoperabilidad a través de estos métodos mediante estándares técnicos, reglas comerciales y programas de cumplimiento. El uso del PIN seguirá dependiendo de la adopción de terminales por parte de los comercios, la activación por parte de los emisores y la opción que ejerza el tarjetahabiente en el punto de venta.

Enfoque de seguridad para proteger los datos

Visa ha adoptado un completo enfoque de la seguridad de los pagos basado en diversas capas de protección con propósito dual: proteger los datos de la tarjeta dondequiera que se encuentren en el ecosistema de pago y realizar inversiones estratégicas en tecnologías que permitan a los participantes en el sistema de pago responder a compromisos fraudulentos y prevenirlos. Los ejemplos incluyen:

Protección de datos

o Impulsar el cumplimiento con la Norma PCI DSS en el mundo entero. Más de un 76 por ciento de los mayores comercios en el mundo han validado su cumplimiento con este estándar de seguridad.

o Llevar a cabo un esfuerzo para asegurar que los comercios no guarden elementos de datos prohibidos, incluidos los códigos de seguridad de las tarjetas y los datos del PIN. Actualmente casi todos los comercios Nivel 1 y 2 en el mundo se han adherido a esta práctica.

o Brindar soporte a la adopción del chip EMV para pagos con contacto a fin de introducir el uso de los datos dinámicos para la autenticación, con lo cual se reducirá el número de datos disponibles para uso fraudulento.

o Publicar las mejores prácticas sobre eliminación/truncamiento del Número de Cuenta Primario o PAN.

Inversiones en tecnología

o Desarrollar la infraestructura de pago 3D-Secure que es la columna vertebral de Verified by Visa y está siendo actualmente utilizada por American Express, JCB y MasterCard a fin de facilitar la autenticación dinámica.

o Innovar la tecnología de red como la Autorización Avanzada de Visa, la cual utiliza datos transacciones para proporcionar una calificación instantánea de riesgo a los emisores de tarjetas—en el mismo mensaje de autorización.

o Invertir en CyberSource con el fin de entregar servicios de manejo de fraude “mejores en su clase” a nivel global. El conjunto de productos de CyberSource proporciona a los comercios en línea herramientas para manejar con más efectividad el fraude y detenerlo antes que ocurra.

En los próximos meses Visa proporcionará guía técnica para brindar más soporte a los comercios, adquirentes, procesadores y emisores a medida que consideren la adopción de la tecnología de chip EMV.