En esta serie de blogs, explicaremos los 12 requisitos de PCI DSS, discutiremos los desafíos comunes y le diremos qué tipo de evidencia se necesita para cumplir con el requisito.
 

Proteger los datos del titular de la tarjeta

Hasta ahora, hemos visto cómo determinar el alcance de las PCI DSS y cómo configurar los dispositivos de forma segura.

El tercer requisito describe las mejores prácticas para proteger los datos del titular de la tarjeta. Por otro lado, con el fin de minimizar los riesgos, se requiere un análisis de datos para definir qué datos son realmente necesarios almacenar.

 

6 consejos

A continuación, explicaremos los principales desafíos y pasos que debemos considerar:

1) Documentar la política de retención y eliminación de datos. Establece lo siguiente:

  • ¿Qué datos de tarjetas debemos guardar?
  • ¿Por qué guardar los datos seleccionados?
  • ¿Cuánto tiempo se debe mantener esos datos almacenados?
  • ¿Dónde se almacenan esos datos?
  • ¿Cómo se deben mantener los datos almacenados?
  • ¿Cuándo esos datos deben ser eliminados?
  • ¿Cómo deberían eliminarse los datos de forma segura?

2) Tenga presente que PCI DSS solo permite almacenar:

  • el número de cuenta principal denominado PAN (que debe ser ilegible);
  • la fecha de vencimiento;
  • el nombre del titular de la tarjeta; y
  • el código de servicio

una vez finalizado el proceso de autorización. Todos los demás datos deben eliminarse de forma segura inmediatamente después de que finalice el proceso de autorización.

3) Mantenga el PAN de forma ilegible implementando uno de los siguientes métodos:

  • Algoritmos de hash de una vía basados en criptografía fuerte, (el hash debe incluir el PAN completo)
  • Truncamiento consiste en eliminar permanentemente un segmento de datos PAN. Este tratamiento no debe exceder de los primeros seis y los últimos cuatro dígitos.
  • Sólido cifrado acompañado de los procesos y procedimientos de gestión de claves.

4) Implemente todas las definiciones de retención y eliminación de datos dependen exclusivamente de las necesidades del negocio y de las regulaciones legales locales que se aplican a su industria o del tipo de datos que se retienen.

5) Defina un procedimiento para identificar y eliminar de forma segura los datos almacenados que hayan excedido el período de retención establecido en la política de retención y eliminación de datos.

6) Documentar e implementar procedimientos que protejan las claves de cifrado contra su posible divulgación o su mal uso. Debe detallar todos los algoritmos, protocolos, claves utilizadas y la definición de su período de cifrado.

Los datos de las tarjetas son uno de los activos más importantes de la industria de pagos, al mismo tiempo que son los más atractivos para los delincuentes. Por estas razones, el desarrollo de documentación completa y detallada permitirá reducir el riesgo además de cumplir con el requisito de PCI DSS.

Leer mas sobre Requirement 2