Un reciente conflicto con los requisitos del Estándar de Seguridad de Datos PCI reveló fallos profundos en sistemas de cumplimiento para pequeñas empresas que procesan tarjetas de pago. El bufete, que opera mayoritariamente con clientes corporativos mediante cheques, transferencias ACH y giros, registró solo 50 dólares en efectivo en tres décadas. Las tarjetas de crédito representan una fracción mínima de transacciones, usadas solo en casos urgentes y enviadas vía navegador web a un procesador con encriptación SSL de 128 bits. Ningún dato de tarjeta permanece digitalmente, solo en papel guardado en un armario con llave.

Sin embargo, el procesador contrató a un proveedor autorizado de escaneos para certificar el cumplimiento total PCI. Funcionarios del PCI Security Standards Council exigen que los comerciantes verifiquen todos los activos accesibles por internet, incluso los no relacionados con datos de tarjetas. El tránsito encriptado de bits de transacciones activó reglas de escaneo generalizado. El proveedor insistió en excluir su IP de los sistemas de detección e prevención de intrusiones del bufete.

Nuestro firewall actúa como proxy de la mayoría de conexiones hacia una única dirección externa, ocultando máquinas internas como el sitio web y servidores de correo. Los escáneres rechazaron esta configuración. Exigieron sondear cada activo, pese a que el único dispositivo involucrado en PCI era un ordenador portátil apagado. Semanas de idas y venidas generaron citaciones de los Procedimientos de Escaneo de Seguridad PCI y Procedimientos de Auditoría de Seguridad PCI, que imponen tal rigor.

Este caso refleja fallos más amplios en cumplimiento normativo. Los expertos en TI depuran código rastreando lógica, implementación o definiciones de problemas. El cumplimiento fragmenta la supervisión entre grupos ligados por contratos. Las deficiencias se acumulan en listas de verificación rígidas, ciegas al contexto. Problemas imprevistos escalan sin bucles de retroalimentación para corregir normas.

Los mercados financieros ofrecen un paralelo claro. La securitización de deudas divide préstamos entre partes mediante acuerdos opacos. Todo funciona hasta las crisis, como el colapso de 2008. Las partes actúan contra intereses colectivos por términos inflexibles. La turbulencia actual, que aún repercute en enero de 2009, lo subraya.

Agencias gubernamentales tropiezan de forma similar. El Servicio de Impuestos Internos de EE.UU. desactivó el Número de Identificación del Empleador de una pequeña empresa por omitir formularios 941, requeridos para impuestos de nómina. Los procedimientos ignoraron firmas sin empleados. Documentos probaron uso continuo en otros lugares, lo que llevó a la reactivación. Aun así, no hay indicios de que el IRS actualizara sus sistemas. La solución: presentar trimestralmente formularios 941 reportando 0 dólares en salarios e impuestos, como recomendaba hace décadas el libro ‘Behold the Computer Revolution’ para apaciguar la máquina.

La burocracia cotidiana agrava el insulto. Un propietario autónomo debe aún presentar una carta firmada del empleador autorizando su participación en eventos. Se marca la casilla, que el sentido común se vaya al diablo.

Los estándares establecen protecciones mínimas, pero no evitan brechas. Un gran procesador de pagos admitió el 21 de enero de 2009 que ladrones robaron números y datos de tarjetas. Las auditorías aprobaron, pero los hackeos persisten. Reglas fragmentadas fomentan la ‘securitización’ del cumplimiento: parcelar deberes sin supervisión holística. Cuando los planes fallan, reina el caos.

Las normas PCI afectan por igual a todos los comerciantes que aceptan tarjetas, desde gigantes minoristas hasta firmas nicho. Los escáneres indagan sistemas irrelevantes, elevando costos y riesgos. No hay exenciones para manejadores de bajo volumen y encriptados. Críticos piden estándares dinámicos con retroalimentación para adaptar requisitos. Mientras tanto, pequeños operadores navegan un laberinto de cumplimiento donde las listas de verificación priman sobre la lógica de seguridad.