¿Cuál es el propósito de PCI DSS?

El fraude financiero realizado por medio de los datos de tarjetas ha sido una de las principales preocupaciones de las marcas de pago ya que impactan la productividad de su negocio y la confiabilidad con sus clientes, dicho esto, cada marca de pago desarrollaba su propio marco de seguridad para la protección de los datos del titular de tarjeta:

Cada marca definía sus buenas prácticas y requerimientos de seguridad y las entidades que deseaban usar los servicios de estas marcas debían aplicar y cumplir con estos controles en sus entidades, los inconvenientes surgían cuando las entidades usaban más de una marca para ofrecer sus servicios de pago ya que debían cumplir con cada una de las normativas generando más carga para la entidad, duplicidad de procesos, dificultad de alinear todos los controles de las entidades en el mismo alcance y una gestión bastante deficiente y difícil para mantener la gestión y complimiento de las normativas.

Esto encamino a las marcas a proyectarse en un mismo objetivo y definieron un estándar el cual se alineará a las expectativas de seguridad y cumplimiento de controles para la protección de los datos del titular de tarjeta; esto le brindo un mecanismo de cumplimiento más transversal a las entidades y solucionó los problemas mencionados anteriormente ya que las entidades ahora solo debían darle cumplimiento a un estándar conformándose así el PCI-SSC “Payment Card Industry Security Standards Council”.

Así el 14 de Diciembre del 2004 PCI-SSC publico la primera versión de la norma PCI-DSS “Payment Card Industry Data Security Standard” o Estándar de seguridad de datos de la industria de tarjetas de pago. Hasta el día de hoy contamos con la versión 4.0 publicada el 31 de Marzo 2022.

¿Qué protege PCI-DSS?

La norma PCI-DSS se especializa en la protección de los datos en las tarjetas de crédito o débito franquiciadas. Estos datos PCI los divide en Datos del titular de tarjeta (Cardholder data, CHD) y los datos confidenciales de autenticación (Sensitive Authentication Data, SAD).

Entre los datos de titular de tarjeta CHD tenemos:

  •  Número Primario de Cuenta (Primary Account Number – PAN)
  • Nombre del titular de la tarjeta (Cardholder Name)
  • Fecha de expiración (Expiration Date)
  • Código de servicio (Service Code)

Entre los datos Confidenciales de Autenticación (SAD) tenemos:

  • Datos completos de la banda magnética o su equivalente en chip (Full track data)
  • CAV2/CVC2/CVV2/CID, Código de verificación
  • Número de Identificación Personal (Personal Identification Number – PIN) y bloques de PIN (PIN blocks)

 

PCI DSS

PCI-DSS se centra en la protección del (Número Primario de Cuenta) PAN, la norma recomienda que el PAN no sea almacenado de ninguna forma si no es requerido para los procesos del negocio, pero si la entidad requiere almacenarlo, este se debe almacenar de forma ilegible y las opciones de ilegibilidad que ofrece la norma las encontramos en el requerimiento 3.4.

Si el nombre del titular, fecha de expiración y/o código de servicio se almacenan, procesan o transmiten junto al (Número Primario de Cuenta) PAN estos datos también se deben proteger incluyéndolos en la protección de los controles de la norma PCI DSS, aunque si estos son almacenados, procesados o transmitidos sin relación de ningún tipo con el  PAN (Número Primario de Cuenta)se podrían excluir de la exigencia de cumplimiento de los controles de esta norma.

Las condiciones cambian para los datos Confidenciales de Autenticación (SAD) ya que PCI-DSS prohíbe el almacenamiento de alguno de estos datos inclusive si estos se tienen de forma ilegible o si no se almacena el PAN (Número Primario de Cuenta). Solamente las entidades emisoras de tarjetas o que apoyen los procesos de emisión son las únicas autorizadas para almacenar estos datos, esto lo podemos observar en el requerimiento 3.2

DATOS CONFIDENCIALES DE AUTENTICACION

Autores: Alejandro Pinto – Consultor QSA. Ana María Peña Cerón – Consultor en Seguridad de la Información- IQ INFORMATION QUALITY