Los comerciantes puede obtener algo más que simplemente la información financiera durante las transacciones de los clientes. A menudo pueden recoger información sensible, como la dirección y número de teléfono, que puede compartirse con socios de negocios para elevar el potencial de ingresos. Las violaciones de datos y malos controles de seguridad ponen esa misma información personal identificable (PII) en manos de ladrones cibernéticos.

Según el Centro Nacional de Excelencia en Ciberseguridad (NCCoE), hay evidencias de que la información PII ahora es mucho más valorada en el mercado negro que los números de las tarjetas de crédito, y que la implementación de EMV en los EEUU posiblemente desplace la actividad de fraude de la falsificación de tarjetas de crédito hacia el empleo de verdaderas tarjetas de crédito obtenidas mediante el uso de identidades falsas o robadas, y el uso de datos robados de tarjetas de crédito para transacciones de tarjeta no presente.

Se han establecido regulaciones y estándares para la protección de la PII en otros países, pero no tanto en los Estados Unidos. Por lo que el NCCoE está aceptando comentarios públicos sobre un proyecto relativo al aseguramiento de la tarjeta que no es de crédito y los datos sensibles del consumidor.

“Este proyecto tiene el objetivo de demostrar que un comerciante puede implementar protecciones para sus datos que se comparten internamente, con consultores y con terceros, y que las mejores prácticas mostradas evidencian el valor de implementar estándares nacionales o internacionales en los productos comerciales y de código abierto”, explica Bill Newhouse, ingeniero senior de seguridad del NCCoE, quien fue coautor del informe del proyecto. “Hoy en día se emplea el enmascaramiento de datos, la tokenización y las técnicas criptográficas. Así, nuestro propósito es demostrar que hay un ecosistema de tecnologías existentes y mejores prácticas que les facilitarán a los comerciantes la inclusión de estas técnicas junto con sus prácticas de protección de datos”.

Se aceptan comentarios del público hasta el 3 de junio, y se elaborará un proyecto de guía práctica. A finales de año, el NCCoE quiere establecer una arquitectura y comenzar a crear el entorno de laboratorio para este proyecto, así como el proyecto “Autenticación multifactor para comercio electrónico”.

“Durante la primera etapa de 2017 se trabajará en el laboratorio para hacer funcionar el proyecto, documentar nuestro progreso de una forma muy detallada, y publicar esos detalles en una Guía Práctica”, explica Newhouse.