En ocasiones, las empresas obtienen información confidencial de la tarjeta de crédito, como parte de toda la información necesaria para completar una compra a través de correo electrónico o por teléfono. Como QSA, creemos que esto es un riesgo de seguridad o, al menos, una mala práctica y que debería ser una prioridad. Todos los datos de titulares de tarjetas que se trasmiten,  procesen y/o  almacenen están dentro del alcance de PCI DSS.

Para evitar que la información de los titulares de tarjetas caiga en manos equivocadas, se estableció el Estándar de seguridad de datos de la industria de tarjetas de pago Payment Card Industry Data Security Standard (PCI DSS) para que las organizaciones cumplan con un lineamiento común para proteger la información de los titulares de tarjetas contra la exposición y explotación no autorizadas.

 

Incumplimiento de PCI DSS

 

El requisito 4.2 de PCI DSS establece que la información de la tarjeta de crédito no debe ser capturada, transmitida ni almacenada a través de tecnologías de mensajería de usuario final, como un correo electrónico.

Esto se debe a que el correo electrónico regular,  no seguro deja números de tarjetas de crédito sin cifrar en las bandejas de entrada, en los botes de basura, en las copias de seguridad, en el cache  del navegador web, etc. Esto se vuelve  extremadamente difícil de asegurar, al igual que cualquier otra tecnología de usuario final convencional.

Es fundamental enfatizar que no cumplir con el Estándar de seguridad de datos de la industria de tarjetas de pago no es un delito.  PCI DSS es un acuerdo de seguridad de datos entre las empresas de tarjetas de pago y los procesadores. No obstante, si algo sale mal mientras se maneja la información de la tarjeta de crédito, el incumplimiento de PCI puede afectar negativamente la reputación de una empresa

 

¿Es el cifrado la solución?

 

Es fácil pensar que cifrar los datos resolvería el problema. Sin embargo, incluso si su servidor de correo electrónico está configurado para proporcionar un cifrado sólido cuando se conecta para leer su correo electrónico, no hay garantía de que el extremo receptor tenga el mismo nivel de seguridad ni que es el único  destinatario previsto quién puede leer la información una vez enviada.

 

¿Cuáles son las opciones para compartir información de tarjetas de crédito de forma digital sin dejar de cumplir con PCI?

 

Dado que el correo electrónico es el método de comunicación preferido para la mayoría de las empresas, la implementación de una plataforma segura de correo electrónico y comunicación digital es fundamental para el cumplimiento de PCI y GRPD.  Tiene como objetivo combatir el riesgo en la comunicación digital. Por ejemplo, si se agrega información privada confidencial a un correo electrónico, como un archivo adjunto que contiene varios números de tarjeta de crédito, y / o si el mensaje está dirigido a un nuevo contacto o varios destinatarios, se emitirá una advertencia y el correo electrónico será rechazado automáticamente. Además, se implementarían estrictas medidas de seguridad (por ejemplo, cifrado de datos personales y protección de autenticación de 2 factores).

 

Tenga sus políticas y procedimientos en orden

 

Como QSA en una evaluación PCI, esperamos ver:

  1. Políticas vigentes que aborden esta situación, indicando que aceptar datos de tarjetas por correo electrónico es contrario a la política de la empresa. Además, explique cómo manejará la situación si los clientes lo hacen.

  2. Procedimientos establecidos para asegurar el cumplimiento de la política. Análisis de rutina del servidor de correo electrónico o implementación de DLP (Data Lost Prevention) para garantizar que los datos estén solo donde deberían estar.
  3. Concienciación de los empleados que deben informar a los clientes que no pueden aceptar pagos de esta manera y que deben reenviarlos utilizando el canal apropiado. A continuación, los datos se eliminan de forma segura. Y  en el caso que la empresa permita que sus empleados procesen las tarjetas que recibe de forma irregular, se convertirá en parte del flujo de datos de tarjetas que al ser descubierto durante una evaluación PCI , este no cumplirá con dicho estándar.

 

Conclusion

Ocasionalmente, la recepción de datos de tarjetas de crédito por correo electrónico se puede evitar o  prevenir y no tiene por qué suponer riesgos adicionales. Si desea discutir su situación específica con nuestros QSA, contáctenos en info@fortytwo.nl