Las Tarjetas de Pago, ya sean de crédito o débito, deben ofrecer ante todo seguridad para el usuario (Tarjetahabiente¹). Es fundamental que solo el titular de la tarjeta pueda acceder a sus fondos o línea de crédito otorgada por el Banco. Si esta seguridad no está garantizada, el uso de dinero en efectivo —principal alternativa a las tarjetas— podría percibirse como una opción más confiable.

Los fraudes con tarjetas de pago son una preocupación constante para los usuarios, debido a la creciente cantidad de casos reportados en diversos medios de comunicación. En los últimos años, se han registrado múltiples robos masivos de Datos de Tarjetas², perpetrados por Cibercriminales. Además, se ha observado el uso creciente de tecnologías avanzadas, como la inteligencia artificial, para suplantar la identidad de los tarjetahabientes y cometer fraudes con mayor sofisticación.

Por este motivo, para garantizar una mayor seguridad al usuario, es fundamental proteger todos los procesos relacionados con las tarjetas de pago. Esto incluye el almacenamiento, la transmisión y el procesamiento de los Datos de Tarjetas en cada proceso, incluyendo la autorización, compensación y liquidación de transacciones, embozado de tarjetas, contracargos, monitoreos para la prevención del fraude y el uso en dispositivos como POS, cajeros automáticos, corresponsales bancarios, billeteras electrónicas, entre otros.

La Gestión del Riesgo en los procesos puede apoyarse en buenas prácticas de Riesgo Operacional³. Como parte de esta gestión, es fundamental identificar el “robo o compromiso de los Datos de Tarjetas” como un riesgo clave, ya que puede generar pérdidas económicas importantes. Estas pérdidas pueden deberse a fraudes, sanciones, multas, demandas legales, reposición de tarjetas, pérdida de clientes, entre otros impactos.

La Gestión de Prevención del Fraude en las entidades bancarias suele centrarse en el monitoreo de transacciones para detectar y evitar operaciones sospechosas; sin embargo, en muchos casos, esta gestión NO lidera directamente la protección de los Datos de Tarjetas, que hoy en día representa una de las principales fuente de origen de los fraudes. En este contexto, para prevenir eficazmente el fraude, es fundamental adoptar un enfoque integral que también incluya a los comercios, adquirentes, proveedores de servicios y demás entidades que forman parte del ecosistema de pagos con tarjetas.

La Gestión de Seguridad de la Información o Ciberseguridad, cuando se encuentra alineada con la Gestión del Riesgo Operacional y la Prevención del Fraude, tiene una base más sólida para priorizar la protección de los Datos de Tarjetas. Esto se debe a que dichos datos deben considerarse como un activo crítico para el negocio, y por tanto, es esencial enfocarse en mantener su confidencialidad.

En el Perú, la Superintendencia de Banca, Seguros y AFP (SBS) ha establecido requisitos específicos para proteger los Datos de Tarjetas, según lo indica el artículo 18 de la Resolución SBS N.º 6523–2013 y sus actualizaciones. A nivel global, las principales marcas internacionales de tarjetas exigen el cumplimiento del estándar PCI DSS (Payment Card Industry Data Security Standard⁴), cuyo objetivo principal es prevenir el fraude.

Estos requisitos de seguridad deben considerarse como mínimos indispensables, y su implementación no debería ser un reto significativo para los bancos y otras entidades financieras. Esto se debe a que muchas de ellas ya cuentan con años de experiencia en Gestión de la Seguridad de la Información o Ciberseguridad, e incluso algunas han adoptado estándares internacionales como la norma ISO/IEC 27001.

Por otro lado, es importante aclarar que la migración a tarjetas con CHIP bajo el estándar EMV no resuelve por completo la seguridad de los Datos de Tarjetas. No obstante, sí mejora la prevención del fraude en compras presenciales, especialmente cuando se utiliza un segundo factor de autenticación, como el ingreso del PIN. Sin embargo, persiste el riesgo de que el fraude se traslade a otros canales donde no está presente el titular de la tarjeta, como las compras por internet (e-Commerce, banca por internet) o las transacciones por correo o teléfono (MO/TO).

En resumen, proteger los Datos de Tarjetas siguiendo las mejores prácticas de seguridad no solo asegura el cumplimiento con las normas de la SBS y los estándares de las marcas de tarjetas, sino que también garantiza que los procesos de negocio relacionados sean sostenibles a largo plazo. Lo más importante es que esto ofrece a los clientes (tarjetahabientes) la seguridad y confianza que esperan al usar este medio de pago.

¹ Cliente al que se emite una tarjeta de pago o cualquier persona autorizada a utilizar la tarjeta de pago, según PCI DSS.

² Datos de Tarjetas, nos referimos a los “Datos de Tarjetahabiente” definidas por PCI DSS, que incluyen: Número de cuenta principal (PAN), Nombre del tarjetahabiente, Fecha de Caducidad y Código de servicio.

³ Entiéndase por Riesgo Operacional a la posibilidad de ocurrencia de pérdidas debido a procesos inadecuados, fallas del personal, de la tecnología de información, o eventos externos. Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y de reputación. Resolución SBS. N° 2116 -2009.

⁴ El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un conjunto de normas diseñado para garantizar que todas las organizaciones que aceptan, procesan, almacenan o transmiten información de tarjetas de pago mantengan un entorno seguro. Este estándar fue desarrollado por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC), compuesto por empresas como Visa, MasterCard, American Express, Discover y JCB. La versión vigente es PCI DSS v4.0.1.   https://www.pcisecuritystandards.org/document_library