Mantener almacenada la información de las tarjetas de crédito ayuda a facilitar su flujo de efectivo. Evite filtraciones de datos importantes y daños irreparables utilizando un procesador de pagos que proteja sus datos.
Almacenar la información de las tarjetas de crédito de los clientes se está convirtiendo rápidamente en una necesidad en la economía actual. Aunque los días en los que se recopilaba la información de las tarjetas de crédito con papel carbón han quedado atrás, la tarjeta en archivo o COF tiene un nuevo significado.
Gran parte de esto se debe a la creación de cuentas de clientes para realizar compras cómodamente y a la expansión del modelo de negocio de servicios de suscripción. Las empresas necesitan conservar la información de pago en sus archivos para seguir procesando pagos periódicamente o para reducir su porcentaje de carritos abandonados ofreciendo pagos con un solo clic.
Las tarjetas almacenadas con pagos recurrentes y el sector de las suscripciones
Primero, echemos un vistazo a los servicios de suscripción. La economía de las suscripciones ya está valorada en $650.000 millones de dólares, con un crecimiento del 435% en la última década y camino a alcanzar los $1,5 billones de dólares en el 2025. Pero, ¿qué son exactamente los servicios de suscripción y qué tienen que ver con el almacenamiento de datos de tarjetas de crédito?
Los servicios de suscripción son precisamente eso: una suscripción. Los clientes pagan una cuota mensual, o a veces una cuota anual reducida. A cambio, pueden acceder a servicios o recibir productos como Entretenimiento, fitness, comercio electrónico, viajes compartidos, entrega de comidas, educación y seguridad en el hogar. Estos son solo algunos de los modelos orientados al consumidor.
Además, existe todo un mundo de suscripciones empresariales. Estos modelos de pago han permitido a las empresas, contratar entidades externas para realizar procesos internos y ahorrar en gastos de operaciones. Este mercado alcanzará los $344.000 millones de dólares en el 2024, con una tasa de crecimiento anual constante del 24%. Nómina, recursos humanos, flujo de trabajo, servicios de IT, administración de recursos y administración de clientes son sólo algunos de los productos que ofrecen empresas como Salesforce, Oracle, IBM y SAP.
¿De dónde provienen todos los datos de los propietarios de tarjetas?
Los estadounidenses representan la mayoría de los propietarios de suscripciones con un 53% de la cuota de mercado, le sigue Europa con el 21%, Asia con el 14% y el resto del mundo con el 12%. Quién lidera el grupo de edad: los millennials. El millennial promedio tiene 17 suscripciones, mientras que los Baby Boomers y los jubilados tienen sólo 8… lo cual es sorprendente, ya que probablemente no seas ajeno a darle a tu abuela tu contraseña de Netflix.
Los servicios de suscripción están impulsando cambios interesantes en el estilo de vida que promueven la comodidad y la automatización. Los Millennials y sus 17 suscripciones ayudan a recibir comidas saludables directamente a su puerta y vean sus programas y películas favoritos sin tener que salir de su hogar.
El gasto mensual promedio en suscripciones supera los $270, un aumento del 15% en los últimos años. Como se puede imaginar, algunas de estas suscripciones quedan olvidadas y alrededor del 90% de los consumidores subestiman cuánto gastan en suscripciones. Algo que puede generar devoluciones de cargo cuando los consumidores frustrados y confundidos intentan cancelar algo en lo que no recuerdan haberse registrado.
Almacenar tarjetas archivadas también puede ayudar a aumentar los ingresos
Aparte de las suscripciones, los comerciantes ofrecen de forma proactiva guardar la información de la tarjeta en las cuentas de los consumidores para facilitar el pago. Desde el punto de vista empresarial, las cuentas de los clientes son una oportunidad para monitorear los hábitos de gasto e impulsar recomendaciones personalizadas. La información de pago almacenada también puede facilitar las compras con un solo clic.
Según un estudio, las compras con un solo clic podrían aumentar las ventas hasta en un 35%. Este pronóstico se ve confirmado por otro estudio que estima que los consumidores estadounidenses gastan hasta $5,400 dólares al año en compras impulsivas.
La respuesta de los consumidores a la oferta de guardar la información de la tarjeta es enorme. Más del 64% de los propietarios de tarjetas estadounidenses han guardado sus números de tarjeta en línea o en una aplicación móvil. Alrededor del 56% de estos consumidores han guardado la información de su tarjeta en un negocio. El 32% lo ha ahorrado con alguna aplicación de pago móvil. Alrededor del 42% de los consumidores que han guardado información de la tarjeta han guardado tarjetas de débito. Esta práctica puede presentar un problema de seguridad adicional, ya que está vinculada directamente a su cuenta bancaria.
En términos de seguridad, alrededor del 44% de los consumidores encuestados se sienten seguros con la opción de que un tercero almacene la información de su tarjeta. Pero el 17% cree que ciertamente no es seguro. Echemos un vistazo al peor escenario que imaginan estos consumidores.
¿Cómo ocurrió la filtración de datos de Target?
La filtración de datos de Target pasó hace una década. Pero todavía recibe mucha atención puesto que muchos consumidores se vieron afectados. La verdad del asunto es que la violación de datos de Target es la punta del iceberg en términos de interrupciones en la continuidad del negocio.
Las empresas (y los gobiernos) tienen que luchar constantemente contra el cibercrimen, creando un sector con un valor de mercado global que superará los 266 mil millones de dólares en los próximos años. Gran parte de este delito cibernético, ya sea exitoso o fallido, nunca llega a los consumidores, lo que hace que pase desapercibido.
Como la mayoría de las corporaciones grandes, Target estaba (y está) bien fortalecida contra las violaciones de datos. Una persona pudo piratear cantidades épicas de datos de consumidores, comprometiendo 40 millones de cuentas de clientes. Filtrando a los 300 miembros del personal dedicados a tiempo completo a la ciberseguridad de Target, un contratista externo de HVAC, Fazio Mechanical, fue la fuente de la infracción. Un empleado de una empresa de HVAC con sede en Pensilvania cayó en un correo electrónico de phishing solicitando información.
Estos piratas informáticos obtuvieron las credenciales de inicio de sesión de Fazio Mechanical en los sistemas internos de Target. Con un camino hacia el gigante minorista, los atacantes lanzaron un segundo malware que también era bastante prosaico, comprado en el mercado negro. Este malware pasó desapercibido durante algunas horas del día laboral, recopilando cantidades masivas de registros que fueron transferidos a los delincuentes en Europa del Este.
Lo que sí sabemos es que el equipo de seguridad de Target en Bangalore notificó a su sede de Minneapolis. Pero la alerta roja fue ignorada. Los piratas informáticos continuaron extrayendo datos durante aproximadamente dos semanas hasta que el Departamento de Justicia comenzó a notificar a Target sobre cargos fraudulentos.
Las consecuencias de la filtración de datos de Target
Las consecuencias del ataque fueron enormes ya que el Target perdió $291 millones de dólares.
De todos modos, los ingresos de Target superaron los $73,800 millones de dólares ese año, lo que hace que el daño financiero total de ese ataque esté muy por debajo del 1% de sus ingresos. Pero las consecuencias de este ataque para la reputación fueron significativas. Las ventas navideñas se desplomaron un 46%, una temporada que normalmente representa hasta el 40% de los ingresos de un minorista. Hoy en día, es justo decir que Target probablemente haya reconstruido su reputación, pero los hackers no pararán.
Desde el ataque a Target, Marriott, Twitter, UnderArmor, eBay, Heartland Payment Systems, LinkedIn e incluso Myspace (sí, todavía existe) han sido pirateados. Y, de hecho, por la cantidad de personas afectadas, todas estas violaciones de datos fueron mayores que Target.
Entonces, ¿cuál es la moraleja de la historia de la violación de datos de Target? ¿Están correctos los 17% de los consumidores que dicen que almacenar datos de tarjetas no es seguro? ¿Es seguro para los dueños de negocios mantener archivadas las tarjetas de crédito? ¿Existen formas seguras de almacenar tarjetas de crédito? ¿Y cuáles son las leyes sobre el mantenimiento de archivos de números de tarjetas de crédito?
Leyes sobre el almacenamiento de información de tarjetas de crédito en archivos
Cualquier empresa que se dedique a almacenar datos financieros debe cumplir con las leyes de almacenamiento de información de tarjetas de crédito de clientes. El estándar respecto a la información de tarjetas almacenada por los comerciantes es el Estándar de seguridad de datos de la industria de tarjetas de pago o PCI DSS. Las empresas no tienen que adherirse a un conjunto particular de prácticas, sino que pueden elegir entre varias opciones.
En una descripción general, algunas de esas opciones incluyen cifrado, truncamiento, tokenización y hash. El cifrado básicamente convierte el pago a una forma ilegible.
El truncamiento elimina todo menos los primeros seis y los últimos cuatro dígitos de un número de tarjeta. La tokenización reemplaza el número con un dígito o token aleatorio. Hashing implica la creación de una especie de huella digital unidireccional.
Cuando la información se almacena en seguimiento con las normas, las empresas pueden conservar los nombres de los titulares de las tarjetas, las fechas de vencimiento, los números de cuentas principales (o PAN) y los códigos de servicio almacenados en bandas magnéticas. Los comerciantes no pueden almacenar el CVV, el número PIN, ni los datos completos de la banda magnética. Respecto a ese último punto, las bandas magnéticas probablemente desaparecerán de las tarjetas en 2030, por lo que serán irrelevantes en términos de cumplimiento.
¿Vale la pena cumplir con PCI?
El problema del cumplimiento de las normas PCI para las empresas pequeñas y medianas, es que puede llevar mucho tiempo y ser costoso. El costo de desarrollar y mantener un entorno de datos de titulares de tarjetas (CDE) interno puede ascender a seis cifras. Una auditoría PCI por sí sola puede oscilar entre $15,000 y $40,000 dólares. Por supuesto, a medida que una empresa crece y almacena más datos, el costo de cumplir y mantener el cumplimiento de PCI crece.
La mejor política de almacenamiento de tarjetas de crédito para propietarios de empresas pequeñas es no tener una y es mejor contratar una compañía de procesamiento de pagos.
Como el propósito de este tercero es ayudar a empresas como la suya a aceptar pagos con tarjeta de crédito, ellas mismas deberán cumplir con PCI. Esto significa que ellos asumirán el costo de cumplir con los requisitos de PCI DSS, ahorrándole decenas de miles de dólares.
¿De dónde provienen las violaciones de datos?
Ahora, examinemos de dónde provienen las violaciones de datos. Alrededor del 55% proviene de personas externas maliciosas, como las involucradas en la violación de datos de Target. Alrededor del 15% proviene de alguien malintencionado, como un empleado o ex empleado descontento. Aproximadamente el 4% está patrocinado por el Estado, es decir, por gobiernos extranjeros. Alrededor del 15% son atribuibles a objetos perdidos como una tarjeta perdida. Por último, alrededor del 1% son atribuibles a hacktivistas.
Si se pregunta qué es un hacktivista, es alguien que realmente se preocupa por el medio ambiente o las preocupaciones humanitarias y puede intentar dañar o pedir rescate a las empresas con malware para que realicen acciones específicas.
De estos hallazgos se pueden extraer algunos hechos significativos. Una es que una cantidad sustancial de violaciones de datos se puede atribuir a la pérdida de elementos. Otra es que su empresa debe defender la información confidencial, como los pagos con tarjeta registrada, de personas externas maliciosas.
La mejor solución para el almacenamiento de pagos con tarjeta
Como se mencionó, su mejor opción en términos de mantener seguros los detalles de pago es dejar que el administrador de su cuenta comercial se encargue de ello. Las transacciones Card on File o COF simplemente no son piezas de información rentables para que la mayoría de las empresas almacenen y administren.
Para las empresas que conservan los datos de las tarjetas para pagos recurrentes, no tiene mucho sentido crear un ecosistema de almacenamiento elaborado y compatible para conservar la información de las tarjetas. Eso significa recurrir a un procesador de pagos.
Pero existen algunas prácticas recomendadas que aún puede seguir las cuales no sólo cubren el robo de tarjetas de crédito, sino también el robo de identidad. Y como el robo de identidad puede ser un importante trampolín hacia otros delitos financieros materiales, usted no desea verse implicado en la cadena de acontecimientos que conducen a estos delitos. Por lo tanto, seguir estas prácticas será de gran ayuda.
Nunca tome notas
Nunca procese una tarjeta de crédito anotando los números de tarjeta. Puede ser fácil caer en esta trampa al recibir pedidos por teléfono. Lo mejor que puede hacer es dirigir a los clientes a un método de pago en línea. Pero puede sentir que eso creará una experiencia negativa para el cliente. Especialmente en momentos en que el cliente no puede acceder a su sitio.
Cuando recopile números de forma auditiva, no los escriba. Corre el riesgo que un empleado venga y agarre el documento o le tome una foto con su teléfono. También debe asegurarse de que a sus empleados no se les permita anotar la información de la tarjeta. Incluso si el propio empleado tiene buenas intenciones, puede perder el papel o que un empleado menos escrupuloso le robe la información.
Ya que estamos en el tema, evite exponer sus propias tarjetas comerciales o corporativas a empleados que no sean aquellos en quienes confía. Nunca se sabe cuándo alguien va a comprar $6 millones de dólares en productos Apple, asignar $4.1 millones de dólares para financiar su propia carrera de rap, $700,000 dólares en viajes y masajes, o incluso simplemente alquilar una máquina de palomitas de maíz de $3,000 dólares.
Skimmer, bandas y papas fritas
Ciertas empresas están más expuestas a posibles robos que otras. En los restaurantes, los empleados suelen quitarles las tarjetas a los clientes durante varios minutos para realizar un cargo.
Por supuesto, la información de la tarjeta de estas transacciones no se conserva en el archivo. Sin embargo, numerosos restaurantes han visto comprometidas cantidades significativas de datos de clientes, particularmente por estafadores de tarjetas. Por ejemplo, alrededor del 15% de los restaurantes “Checker’s” se vieron afectados por estafadores de tarjetas, lo que comprometió los datos de los clientes.
El skimming es un proceso en el que los delincuentes instalan un dispositivo en un POS que puede leer la información de la tarjeta en una banda magnética. Luego, esta información se recopila y almacena para realizar compras fraudulentas. Como se mencionó, las compañías de tarjetas eliminarán las bandas magnéticas de las tarjetas en un futuro próximo. Y los chips EMV que se encuentran en las tarjetas más recientes utilizan cifrados únicos y tokenización para ocultar los datos de pago.
Sin embargo, si hay un grupo de personas que es más creativo que los artistas, músicos y escritores, ese es el de los delincuentes. Ya han ideado planes para frustrar el chip EMV creando tarjetas con chips falsos, diciendo que el chip está roto y solicitando que se realicen deslizamientos magnéticos.
Parece probable que la desaparición de la banda magnética inspire nuevas pinceladas en el lienzo colectivo del robo de identidad, y esperamos que las audaces composiciones que los delincuentes de tarjetas de crédito tienen en el ámbito de su inspiración.
Seguridad biométrica
Aunque no puede controlar cómo sus clientes protegen la información de sus tarjetas personales, esto nos lleva a lo que es el máximo nivel de seguridad del consumidor: la biometría. En un futuro próximo, es posible que el pago se realice mediante escaneos biológicos de ojos, huellas dactilares u otras partes del cuerpo en lugar de tarjetas. Estos datos biométricos tendrían que vincularse a un conjunto de datos aparentemente invasivo sobre datos personalizados, y está por verse cómo encajarían exactamente esto en el panorama de pagos.
Tenga cuidado con quién tiene acceso al panel de su sistema de pagos
Pero volviendo a nuestras preocupaciones de seguridad empresarial, también debe tener cuidado con quién proporciona las credenciales de inicio de sesión para sistemas internos sensibles, ya sea el panel de su sistema de pago o incluso el software de administración de relaciones con el cliente.
Una forma de evitar que partes no deseadas entren en los reinos sagrados de los datos confidenciales es la 2FA. La autenticación de dos factores aporta seguridad más allá de la protección con contraseña. Requiere que la parte que intenta acceder a los datos se valide de otra manera. Por ejemplo, enviando un código a su teléfono.
Eliminar datos irrelevantes
Otro aspecto más de mantener los datos seguros es eliminar los datos irrelevantes. No hay ninguna razón para almacenar información confidencial de los clientes que ya han abandonado su modelo de suscripción. Ciertamente, la retención es una preocupación empresarial valiosa, pero los datos de marketing son una historia diferente a la información financiera confidencial.
Conservar los correos electrónicos de clientes anteriores para enviarles correos electrónicos periódicos de regreso es muy diferente a guardar sus números de tarjeta. Un paso proactivo que puede tomar es eliminar los datos irrelevantes de los clientes de su panorama de datos. Eso puede incluir hablar con su procesador de pagos sobre su política para almacenar los datos de los clientes que han abandonado.
Entonces, ¿es seguro almacenar tarjetas en un archivo? Absolutamente, si se hace de la manera correcta. Y la forma correcta es dejar que un proveedor de pagos se encargue de eso por usted. Esto le permitirá subcontratar el coste del cumplimiento de PCI y la ciberseguridad al equipo de amenazas del procesador de pagos. Sin embargo, como se mencionó, todavía existen medidas proactivas que se pueden tomar en cuenta para mantener segura la información del cliente.
A menudo es necesario almacenar las tarjetas de crédito archivadas
Cuando se hace correctamente, mantener la información de la tarjeta de crédito archivada ayuda a facilitar su flujo de efectivo. En términos de creación de cuentas de clientes, las compras con un solo clic mejoran la proporción de carritos abandonados y generan más ventas, tanto por la comodidad del proceso de pago como por el poder de las compras impulsivas. Luego, por supuesto, están los servicios de suscripción, que absolutamente necesitan mantener la información de la tarjeta archivada.
De cualquier manera, querrás trabajar con un procesador de pagos que sea transparente en cuanto a su seguridad y proceso de almacenamiento de datos. Desafortunadamente, los grandes agregadores como PayPal o Square no son notoriamente transparentes y pueden responder a violaciones de seguridad impidiendo aceptar pagos. Una mejor opción para la mayoría de los propietarios de empresas es trabajar con un procesador de pagos que no sea un agregador de pagos.
Además de facilitar pagos únicos de crédito, débito y ACH, brindamos una variedad de otros servicios comerciales, incluido el almacenamiento de tarjeta en archivo compatible. Trabajamos con empresas de todo tipo y participamos activamente para ayudar a los clientes a administrar sus negocios.
Con estructuras de tarifas que pueden adaptarse a su modelo de negocio, podemos ayudarlo a procesar pagos y almacenar información del cliente de una manera segura y compatible. Llámenos o contáctenos a través de nuestro sitio web para obtener más información sobre cómo podemos ayudar a mantener archivadas las tarjetas de crédito de los clientes de manera segura.