JOSE RACIONERO. “Los datos de tu tarjeta no están seguros”. Esta es una de las principales conclusiones del Congreso SP&ID celebrado este miércoles 19 de junio (2019) en Madrid en el estadio Wanda Metropolitano. Y es que todos creemos que cuando hacemos un pago por teléfono y damos el número de nuestra tarjeta, esos datos están protegidos por una seguridad mayor que la de un banco. Nada más lejos de la realidad.

Damos nuestros datos de tarjeta con toda la confianza y sin pensar en las posibles consecuencias

Cuando proporcionamos nuestros datos de tarjeta en una compra telefónica, en el 90% de los casos se lo damos a una persona. Pero, ¿acaso la conoces de algo? ¿Sabes que no está tomando nota de esos datos? ¿Que no los guarda? Que trabaje para una compañía conocida de agua, electricidad, de telefonía o el propio ayuntamiento de tu localidad, ¿es suficiente? Pues no. Y aunque te digan que la recogida de los datos se va a hacer en un entorno automatizado y seguro, ¿te proporciona alguna garantía? ¿Te la explica? En el congreso vimos como la compañía Quality Telecom y su producto PAYbyCALL resuelven todo esto, tanto por la protección de los datos como por el asesoramiento que proporcionan a las empresas para saber en qué parte del proceso no se cumple la seguridad necesaria. Este producto proporciona el nivel más alto de seguridad que exigen las grandes marcas de tarjetas, hablamos de VISA y Mastercard, entre otras.

PCI DSS Nivel 1: la máxima categoría de protección para tus datos

Estas marcas definieron hace unos años, en concreto en el 2006, qué nivel de seguridad debían cumplir las empresas que manejaban datos de tarjetas para que estos estuvieran seguros. Implantaron una certificación, llamada PCI DSS, que si la tienes proporcionarás una garantía que casi nadie en el mercado ofrece. Pero claro, para los que no sabemos, nos parece que, si el agente nos lo dice, vale. Y sin embargo, en una llamada hay muchos puntos por los que ésta pasa, muchas herramientas que la manejan y que son puntos que pueden ser atacados, que pueden estar grabando o simplemente tienen a un supervisor escuchando para valorar la calidad de atención del agente.

¿Y qué puedo hacer como usuario?

Preguntar. Preguntar y que te confirmen si cumplen con la seguridad necesaria para tomar los datos de tarjeta. Pero cuidado, no vale con que el momento de la toma de datos sea seguro, todo el proceso y todos los sistemas por los que pasa la llamada deben cumplir PCI DSS. Obligatoriamente. Y eso no se cumple solo con poner un entorno automático que de forma aislada ha pasado la certificación. La seguridad debe ser completa en toda la llamada.

La próxima vez que tengas que pagar con tarjeta por teléfono, si no te dan suficientes garantías, se lo dices a la persona que te atienda la llamada para que les conste y no pagues. Además de esta importante conclusión, el congreso estuvo granado de otras interesantes aportaciones que abordaban el futuro de la industria de la seguridad en los pagos. Huella biométrica, protección de los pagos a través del móvil, la normativa europea PSD2 y su impacto en todos los elementos de la cadena de pagos. Un congreso realmente interesante, especialmente para las empresas del sector, pero al final y como usuarios de a pie que somos, hay aspectos que tienen una repercusión directa en nuestro día a día que debemos considerar seriamente y que afortunadamente salen a la luz.