Blog
dark mode light mode Search Archivos descargables
Search

Cómo encriptar datos para cumplir con PCI DSS

Lo que necesitas saber para proteger los datos de tarjetas de pago

Guardar datos en texto plano nunca es una buena idea. Sobre todo si es información sensible como contraseñas, cuentas bancarias o datos de tarjetas de pago. 

Por eso, estándares de seguridad como ISO 27001 y PCI DSS, te piden cifrar datos e información sensible.

A continuación, te contamos como encriptar datos para cumplir con PCI DSS. Te compartimos los algoritmos de hash y de cifrado aceptados por PCI DSS

¿Qué es un algoritmo criptográfico?

Comencemos por entender qué es un algoritmo y qué es la criptografía: 

  • Un algoritmo es una serie de pasos para lograr un resultado. Como por ejemplo, una receta de cocina. 
  • La criptografía o cifrado es el proceso de ocultar información. Por ejemplo, si quieres mandar un mensaje con la palabra “hola”, y en su lugar escribes #%&$/25; por medio de los pasos del algoritmo podrás descifrar que #%&$/25 en realidad significa “hola”
  • Hashing: básicamente es una función matemática que se aplica a un dato y eso da como resultado un hash que no puede revertirse

Entonces, podemos concluir que un algoritmo criptográfico es una secuencia de reglas o procesos para cifrar información. 

Estos algoritmos serán tu mejor aliado para cumplir con PCI DSS y proteger datos e información importante. Ya que, si cayera en las manos equivocadas, tendrían que descifrar qué es lo que realmente dice. Algo que no es tan sencillo, sobre todo si usas los métodos correctos. 

Algoritmos de hash

Un algoritmo hash es un método de encriptación alfanumérico que transforma cualquier dato que le des en un conjunto de caracteres. Algo que hace tan efectiva la encriptación hash, es que cada código creado por este método es único. 

Literalmente. No hay dos iguales. Con el mínimo cambio que hagas en el input de un archivo, el hash cambiará. 

Otra característica de hashear de esta forma tus datos, es que las funciones hash son unilaterales. O sea que el código se crea a partir de la información que ingresas, pero no puedes obtener la información a través del código. 

Aunque existen diferentes funciones de hash, PCI DSS sólo permite hashear tus datos con las siguientes: 

FamiliaAlgoritmo
SHA-2SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224 y SHA-512/256
SHA-3SHA3-224, SHA3-256, SHA3-384 y SHA3-512
WhirpoolWhirpool-512

Algoritmos de encriptación y firma digital

Otros algoritmos de encriptación bastante  comunes y aceptados por PCI DSS son AES y RSA. 

  • AES es un algoritmo simétrico. Esto quiere decir que sólo necesita una clave para poder descifrar y cifrar el mensaje. Dicha clave, o también conocida como llave, debe compartirse con las personas que reciban los datos. 
  • Por otro lado, RSA es un algoritmo asimétrico. Este tipo de cifrado necesita una clave privada y dos públicas para proteger y comunicar la información.

Otros algoritmos de encriptación aprobados por PCI, aunque no tan comunes, son los siguientes:

AlgoritmoLongitud de clave mínima
TDES/TDEA (Triple Data Encryption Algorithm)Obligatorio el uso de tres claves (Three-key TDEA): 112 bits y superior
ECC (Elliptic Curve Cryptography)224 bits y superior
DSA (Digital Signature Algorithm)2048/224 bits y superior
DH (Diffie–Hellman)2048/224 bits y superior
Cualquier otro algoritmo aprobado y aceptable con clave > 112 bitsVer NIST Special Publication 800-57 Part 1

Algoritmos no permitidos

Ya que conoces los algoritmos más comunes y aceptados por PCI DSS, es importante que sepas cuáles definitivamente no puedes utilizar para cumplir con este estándar de seguridad: 

  • DES (DEA)
  • TDEA (2TDEA)
  • SKIPJACK
  • MD4 y MD5 (hash)
  • SHA1 (hash)
  • RIPMED-128

Conclusión

Encriptar datos es esencial para cumplir con PCI DSS, y en general, para proteger datos e información sensible. Aunque existe una gran variedad de técnicas y algoritmos de encriptación, no todas son válidas para cumplir con este estándar.

Sabemos que puede sonar algo complicado, por eso, estamos aquí para ayudarte. Si estás pensando en implementar PCI DSS y quieres lograrlo de una manera rápida, eficiente y automatizada contáctanos para conocer lo que podemos hacer por ti

Hackmetrix newsletter ciberseguridad