RSA, una compañía de la división de seguridad de EMC, dio a conocer cifras sobre los riesgos de las empresas con respecto a las tarjetas de crédito y los usuarios; se basan en una encuesta aplicada a empresas latinoamericanas. Todas las preguntas giraban alrededor de la protección que las organizaciones encuestadas tenían para los datos sensibles de tarjetas de crédito. Esta encuesta fue realizada a principios del 2008 a 164 empresas, y cada una de la preguntas se basó en los estándares aplicados por las mayores marcas de tarjetas de crédito a las organizaciones que procesan, almacenan o recolectan información relacionada, según el Estándar de Seguridad de Datos de la Industria de Pagos con Tarjetas de Crédito (PCI DSS). Cabe mencionar que la mayoría de las organizaciones entrevistadas pertenecen al sector financiero, y de las cuales, 64 son mexicanas, seguidas por organizaciones brasileñas (40 empresas), así como de otros ocho países más. Los resultados de la encuesta revelaron que sólo la mitad de los negocios usuarios de la información están concientes del estándar PCI DSS, mientras que la otra mitad estará mejor preparada para finales del año. Los criterios a evaluar por PCI DSS fueron el tiempo de resguardo y almacenamiento, la dispersión de los datos a través de la infraestructura y mecanismos de seguridad, de los cuales se derivaron preguntas como: ¿Su empresa almacena los números de las tarjetas de crédito o debito después de autorizar la transacción?; ¿su empresa encripta los números de cuenta de tarjetas de crédito o debito cuando los almacena en su entorno?; ¿cuantas personas en su organización tienen acceso, por lo general, a datos como números de tarjetas de crédito?, y ¿cual es el plazo en el que espera cumplir con el estándar de seguridad de datos PCI DSS? entre otras 11 preguntas. Los resultados de la encuesta fueron alentadores, según RSA, ya que casi la mitad (49%) de los encuestados sólo mantiene información de las tarjetas menos de un día, siendo los menos seguras las empresas que mantienen hasta por más de 12 meses (19%); en cuanto a la encripción 49% sí lo hace aunque otro 49% no, y sólo 5% no respondió. En cuanto al acceso a la información, 60% afirmó que sólo de una a diez personas tienen acceso a esta información. En contraste, 15% de estas empresas da acceso a más de 100 personas a la información. Por ultimo, respeto al cumplimiento de las normas, 46% de los 164 organizamos ni siquiera conoce los estandares, mientras que 25% de las organizaciones restantes lo hará en un periodo no mayor a entre 6 y 12 meses, y 16% no sabe hasta cuándo. Por su parte, Hill Redfield analista de cumplimiento regulatorio de RSA, señaló que la empresa, como socio comercial, puede ayudar a las empresas a mejorar sus procesos así como promueve la adopción de las practicas de PCI DSS en sus sistemas de seguridad de información por varios medios. Afirmó que no existe un nivel de madurez fijo dentro de las TI de las empresas para hacer una implementación que mejore sus practicas de seguridad. Aunque señaló que existen estrategias que PCI DSS, dice que para mejorar la seguridad adicionales a una implementación de cualquier marca “una de las estrategias a seguir es la propia encripción de la información o disminuir los paswords juntando las sesiones en un sólo log on”.