NL +31 (0)20 4232420 / SP +34 937 379 542 info@fortytwo.nl

De vez en cuando todavía obtenemos esta repuesta por parte de los clientes. Desafortunadamente, el simple cifrado de los datos del titular de la tarjeta (CHD) no necesariamente lo libera de su cumplimiento. En la mayoría de los casos, si el CHD cifrado se almacena, procesa o transmite, seguirá estando dentro del alcance porque, a menudo, las claves de descifrado se mantienen dentro del mismo entorno que el CHD cifrado.

 

Excepción a esta regla

 

El Consejo de Estándares de Seguridad PCI (PCI SSC) lanzó un estándar en junio de 2013 llamado Cifrado punto a punto. El estándar PCI P2PE está diseñado para el cifrado seguro de CHD en el punto de captura, hasta que alcanza un entorno de descifrado seguro. Si las organizaciones están utilizando una solución P2PE validada por PCI SSC, el tráfico de red no está dentro del alcance de PCI DSS, por lo tanto, la red utilizada para soportar la transmisión entre los dispositivos de punto de interacción (POI) (también conocido como PED / PDQ) no está dentro del alcance del estándar.

En un entorno P2PE, únicamente los dispositivos POI están dentro del alcance de las actividades de evaluación. La razón de esto es porque el cifrado está diseñado para ser descifrado en un entorno seguro.

 

¿Qué hay de los proveedores externos de back-up?

 

Por lo general, el proveedor almacenará conjuntos de copias de seguridad cifradas; sin embargo, el proveedor no tendrá acceso a las claves de descifrado a las cuales únicamente el cliente tendrá acceso. Debido a que el proveedor no puede descifrar los datos, el CHD no estaría dentro del alcance del proveedor. Esto se discute más a fondo en los siguientes artículos de Preguntas frecuentes del PCI SSC; “How does encrypted cardholder data impact PCI DSS scope?” y “How does encrypted cardholder data impact PCI DSS scope for third-party service providers?

 

Leer más sobre Cifrado y PCI DSS en nuestro blog Requerimiento 4 de PCI DSS
Desea conocer más sobre cifrado y GDPR? Encryption and GDPR