En el ámbito de los sistemas de gestión de tarjetas de crédito y de débito (los llamados TPV – Terminal Punto de Venta- o POS -Point of Sale- Terminal) es aceptable confirmar la operación con una firma manuscrita digitalizada (o capturada electrónicamente), con sujeción a ciertos principios generales:
- Adequate electronic data processing (EDP) controls and security measures are established, so that digitized signatures are recreated on a transaction-specific basis. Processors may recreate the signature captured for a specific transaction only in response to a retrieval request for the transaction.
- Sufficient controls exist over employees with authorized access to digitized signatures maintained in the processor’s or merchant’s computers. Employees and agents should be allowed to access the stored, electronically captured signatures only on a “need to know” basis.
- Digitized signatures are accessed and used in compliance with applicable industry regulations.
La correcta aplicación de estos principios se deriva igualmente de la establecida para la firma avanzada digitalizada, aunque no a la inversa. La firma avanzada digitalizada permite el cumplimiento de los requisitos ESCT, pero los criterios ESCT no son suficientes para que una firma captada electrónicamente tenga el carácter de firma avanzada digitalizada.
- Se establecen controles y medidas de seguridad adecuados en el proceso electrónico de datos (EDP), por los que las firmas digitalizadas se reconstruyen solo en base a transacciones específicas. Los procesadores de medios de pago pueden recrear la firma capturada para una transacción específica sólo en respuesta a una solicitud de recuperación de dicha operación.
- Existen suficientes controles sobre los empleados con acceso autorizado a las firmas digitalizadas gestionadas en los sistemas informáticos del procesador de medios de pago o del comerciante. Se restringirá el acceso a las firmas digitalizadas almacenadas solo a empleados y agentes que verdaderamente lo requieran (principio «need to know»).
- Se accederá a las firmas digitalizadas y estas se gestionarán con sometimiento a la normativa aplicable.
VISA y MasterCard están abriendo sus especificaciones para que la firma se pueda capturar en los TPV de nueva generación, que ya cumplen algunas especificaciones de las adeministradas por el consorcio PCI.
Los servicios de EADTrust incluyen la auditoría de dispositivos TPV con mecanismos de captura digitalizada de firmas manuscritas y también la de los entornos de gestión de firmas digitalizadas de comerciantes y de procesadores de medios de pago. Llámenos al 902 365 612 y añada este nivel de cumplimiento a sus dispositivos diferenciándose de la competencia.