En esta serie de blogs, explicaremos los 12 requisitos de PCI DSS, discutiremos los desafíos comunes y le diremos qué tipo de evidencia se necesita para cumplir con el requisito.
Requerimiento 3 de PCI DSS: Proteger los datos de las tarjetas
Hasta ahora, hemos visto cómo determinar el alcance de PCI DSS y cómo configurar los dispositivos de forma segura.
El tercer requisito describe las mejores prácticas para proteger los datos de tarjetas. Por otro lado, con el fin de minimizar los riesgos, se requiere un análisis en profundidad de los datos para definir cuales son realmente necesarios almacenar.
Seis consejos
A continuación, explicaremos los principales desafíos y pasos que debemos considerar.
1) Documente la política de retención y eliminación de datos. Asegurese que lo siguiente está resuelto:
- Que datos de tarjetas debemos guardar
- Porque guardar los datos seleccionados
- Cuánto tiempo se debe mantener esos datos almacenados
- Dónde se almacenan esos datos
- Cómo se deben mantener los datos almacenados
- Cuándo esos datos deben ser eliminados
- Cómo deberían eliminarse los datos de forma segura
2) Tenga presente que PCI DSS solo permite almacenar:
- el número de la tarjeta denominado PAN (almacenar de forma ilegible);
- la fecha de vencimiento;
- el nombre del titular de la tarjeta; y
- el código de servicio
una vez finalizado el proceso de autorización. Todos los demás datos deben eliminarse de forma segura inmediatamente después de que finalice el proceso de autorización.
3) Mantenga el PAN de forma ilegible implementando uno de los siguientes métodos:
- Algoritmos de hash de una vía basados en criptografía robusta, (el hash debe incluir el PAN completo)
- Truncamiento consistente en eliminar permanentemente un segmento de datos PAN. Este tratamiento no debe exceder de los primeros seis y los últimos cuatro dígitos.
- Cifrado seguro acompañado de los procesos y procedimientos de gestión de claves.
4) Todos los requisitos de retención y eliminación de datos dependen exclusivamente de las necesidades del negocio y de las regulaciones legales locales que se aplican a su industria o del tipo de datos que se retienen.
5) Defina un procedimiento para identificar y eliminar de forma segura los datos almacenados que hayan excedido el período de retención establecido en la política de retención y eliminación de datos.
6) Documente e implemente procedimientos que protejan las claves de cifrado frente a su posible divulgación o mal uso. Debe detallar todos los algoritmos, protocolos, claves utilizadas y la definición de su período de cifrado.
Los datos de las tarjetas son uno de los activos más importantes en la industria de pagos, al mismo tiempo que son los más atractivos para los ciberdelincuentes. Por estas razones, el desarrollo de documentación completa y detallada permitirá reducir el riesgo además de cumplir con el requisito de PCI DSS.
¿Necesita ayuda con la implementación de PCI DSS? Nuestros QSAs pueden ayudarlo.
Leer más sobre:
PCI DSS requerimiento 1: Protección del entorno de datos del titular de la tarjeta
PCI DSS requerimiento 2: Cambia tus valores predeterminados
PCI DSS requerimiento 3: Proteger los datos del titular de la tarjeta
PCI DSS requerimiento 4: Proteger la transmisión de datos de titulares de tarjetas a través de redes abiertas y públicas
PCI DSS requerimiento 5: Proteger todos los sistemas contra todo tipo de malware
PCI DSS requerimiento 6: Desarrollar software y mantener sistemas y aplicaciones seguras
PCI DSS requerimiento 7: Restringir el acceso a los datos del titular de la tarjeta
PCI DSS requerimiento 8: Identificar y autenticar el acceso a los sistemas
PCI DSS requerimiento 9: Restringir el acceso físico a los datos del titular de la tarjeta
PCI DSS requerimiento 10: Supervise y rastree todos los accesos a los recursos de red y los datos del titular de la tarjeta
PCI DSS requerimiento 11: Probar regularmente los sistemas y procesos de seguridad
PCI DSS requerimiento 12: Mantener una política que aborde la seguridad de la información para todo el personal