ConexFlow 4.1 se convierte así en la primera aplicación de estas características en España que recibe oficialmente la certificación PA DSS 2.0 (Payment Application Data Security Standard), validada de acuerdo con los criterios del más exigente organismo de Seguridad de Datos de la Industria de Pagos con Tarjeta de Crédito, el PCI- SSC (Payment Card Industry Security Standard Council). Dicho estándar hoy es de obligado cumplimiento por todos los comercios que acepten pagos con tarjetas de crédito y el uso de pasarelas certificadas como ConexFlow 4.1 en este tipo de operaciones, asegura que estos establecimientos no se encontrarán con ningún impedimento en su aplicación.

ConexFlow es una aplicación desarrollada por el Centro Experto de Medios de Pago de Informática El Corte Inglés, que posibilita la tramitación del pago con tarjeta con el banco emisor, garantizando en todo momento la seguridad de la información. Hoy, unos 80.000 terminales realizan el cobro con tarjeta a través de esta pasarela.

“La obtención por ConexFlow de esta máxima certificación y el hecho de que Informática El Corte Inglés haya sido la primera empresa española en certificar su pasarela de pago seguro por la normativa, consolida nuestro posicionamiento como uno de los proveedores más fiables y avanzados de tecnologías para el pago seguro con tarjetas de crédito. Dicha certificación extiende las garantías de seguridad en todo el ciclo de las comunicaciones y mejora la imagen de los comercios usuarios que la acrediten”, señalan fuentes de la consultora tecnológica.

Probado en todo tipo de entornos

El proceso para la obtención del certificado PA DSS ha sido laborioso y exigente. Desde que, en 2011, el CEX de Medios de Pago de Informática El Corte Inglés se comprometiera con la obtención del certificado para sus productos de pago seguro, y especialmente para la siguiente actualización de ConexFlow, hubo que elaborar todo un protocolo de trabajo y una metodología de desarrollo que cumpliera con los estándares definidos por el consejo mundial de la industria de pago con tarjetas.

A lo largo de las fases de escritura y validación del código de programación, se encriptaron las sucesivas versiones y se realizaron pruebas de laboratorio en todo tipo de entornos. Se simuló el funcionamiento de ConexFlow con vulnerabilidades conocidas, se falsificaron solicitudes y se realizaron peticiones masivas de servicio, se interrumpieron sesiones, se establecieron comunicaciones no confiables y se desprotegieron equipos, etc., superando la solución todos los obstáculos con éxito.

Para cumplir con los últimos requisitos del estándar PA DSS y obtener la certificación como Validated Payment Application, ConexFlow debía acreditar que los datos almacenados de las tarjetas de crédito de los clientes estarían encriptados desde el primer momento y durante todos los procedimientos administrativos. Para ello, se han implementado herramientas forenses para obtener evidencias de datos confidenciales de autenticación y otras de correlación de logs que rastrean cualquier acción que ocurra durante la transacción.

Por último, hubo que superar los tests de certificación. Ha sido la compañía Internet Security Auditors la encargada de seguir todo el proceso y comprobar la documentación generada, remitiendo en diciembre su informe a la sede del consejo, que fue aprobado en enero. Así, el pasado mes de marzo, se publicaron las listas oficiales de los proveedores de aplicaciones que han superado la certificación PA DSS en su versión 2.0, entre ellos, Informática El Corte Inglés.

“ConexFlow no es solo una aplicación segura, también genera un entorno seguro. Nuestros clientes están satisfechos y protegidos, porque sus datos lo están. Y este es el objetivo de nuestro trabajo diario”, añaden desde el Centro Experto de Medios de Pago de Informática El Corte Inglés.