El enmascaramiento se aborda en el requisito 3.3 de la PCI DSS, mientras que el truncamiento es una de las diversas opciones especificadas para cumplir el requisito 3.4 de la PCI DSS.El requisito 3.3 se refiere a la protección de la PAN cuando se muestra en pantallas, recibos en papel, impresiones, etc., y no debe confundirse con el requisito 3.4 para la protección del PAN cuando se almacena, procesa o transmite en archivos, bases de datos, etc.

El enmascaramiento es un método para ocultar un segmento de un número de cuenta principal (PAN) cuando se muestra o se imprime (por ejemplo, en recibos de papel, informes o pantallas de ordenador), y se utiliza cuando no hay necesidad comercial de ver el PAN completo.

El truncamiento es un método para hacer ilegible un PAN completo mediante la eliminación de un segmento de los datos del PAN y se aplica a los PAN almacenados electrónicamente (por ejemplo, en archivos, bases de datos, etc.).

El enmascaramiento no es sinónimo de truncamiento y estos términos no pueden utilizarse indistintamente. El enmascaramiento se refiere a la ocultación de ciertos dígitos durante la visualización o la impresión, incluso cuando la PAN completa está almacenada en un sistema.

Esto es diferente del truncamiento, en el que los dígitos truncados se eliminan y no pueden recuperarse dentro del sistema. El PAN enmascarado puede ser “desenmascarado”, pero no se puede “desenmascarar” sin recrear el PAN a partir de otra fuente.

Tenga en cuenta que incluso si un PAN está enmascarado cuando se visualiza, el PAN completo podría seguir siendo almacenado electrónicamente y tendría que ser protegido de acuerdo con el requisito 3.4 de la PCI DSS.

Las entidades también deben ser conscientes de cualquier requisito más estricto que pueda aplicarse a la visualización de los datos del titular de la tarjeta, como las regulaciones específicas de la marca de pago y los requisitos reglamentarios o legislativos – por ejemplo, las restricciones para los datos que se muestran en los recibos de los puntos de venta (POS). PCI DSS no sustituye a las leyes locales o regionales ni a otros requisitos legislativos.