Lo que necesitas saber para proteger los datos de tarjetas de pago
Guardar datos en texto plano nunca es una buena idea. Sobre todo si es información sensible como contraseñas, cuentas bancarias o datos de tarjetas de pago.
Por eso, estándares de seguridad como ISO 27001 y PCI DSS, te piden cifrar datos e información sensible.
A continuación, te contamos como encriptar datos para cumplir con PCI DSS. Te compartimos los algoritmos de hash y de cifrado aceptados por PCI DSS.
¿Qué es un algoritmo criptográfico?
Comencemos por entender qué es un algoritmo y qué es la criptografía:
- Un algoritmo es una serie de pasos para lograr un resultado. Como por ejemplo, una receta de cocina.
- La criptografía o cifrado es el proceso de ocultar información. Por ejemplo, si quieres mandar un mensaje con la palabra “hola”, y en su lugar escribes #%&$/25; por medio de los pasos del algoritmo podrás descifrar que #%&$/25 en realidad significa “hola”
- Hashing: básicamente es una función matemática que se aplica a un dato y eso da como resultado un hash que no puede revertirse
Entonces, podemos concluir que un algoritmo criptográfico es una secuencia de reglas o procesos para cifrar información.
Estos algoritmos serán tu mejor aliado para cumplir con PCI DSS y proteger datos e información importante. Ya que, si cayera en las manos equivocadas, tendrían que descifrar qué es lo que realmente dice. Algo que no es tan sencillo, sobre todo si usas los métodos correctos.
Algoritmos de hash
Un algoritmo hash es un método de encriptación alfanumérico que transforma cualquier dato que le des en un conjunto de caracteres. Algo que hace tan efectiva la encriptación hash, es que cada código creado por este método es único.
Literalmente. No hay dos iguales. Con el mínimo cambio que hagas en el input de un archivo, el hash cambiará.
Otra característica de hashear de esta forma tus datos, es que las funciones hash son unilaterales. O sea que el código se crea a partir de la información que ingresas, pero no puedes obtener la información a través del código.
Aunque existen diferentes funciones de hash, PCI DSS sólo permite hashear tus datos con las siguientes:
Familia | Algoritmo |
SHA-2 | SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224 y SHA-512/256 |
SHA-3 | SHA3-224, SHA3-256, SHA3-384 y SHA3-512 |
Whirpool | Whirpool-512 |
Algoritmos de encriptación y firma digital
Otros algoritmos de encriptación bastante comunes y aceptados por PCI DSS son AES y RSA.
- AES es un algoritmo simétrico. Esto quiere decir que sólo necesita una clave para poder descifrar y cifrar el mensaje. Dicha clave, o también conocida como llave, debe compartirse con las personas que reciban los datos.
- Por otro lado, RSA es un algoritmo asimétrico. Este tipo de cifrado necesita una clave privada y dos públicas para proteger y comunicar la información.
Otros algoritmos de encriptación aprobados por PCI, aunque no tan comunes, son los siguientes:
Algoritmo | Longitud de clave mínima |
TDES/TDEA (Triple Data Encryption Algorithm) | Obligatorio el uso de tres claves (Three-key TDEA): 112 bits y superior |
ECC (Elliptic Curve Cryptography) | 224 bits y superior |
DSA (Digital Signature Algorithm) | 2048/224 bits y superior |
DH (Diffie–Hellman) | 2048/224 bits y superior |
Cualquier otro algoritmo aprobado y aceptable con clave > 112 bits | Ver NIST Special Publication 800-57 Part 1 |
Algoritmos no permitidos
Ya que conoces los algoritmos más comunes y aceptados por PCI DSS, es importante que sepas cuáles definitivamente no puedes utilizar para cumplir con este estándar de seguridad:
- DES (DEA)
- TDEA (2TDEA)
- SKIPJACK
- MD4 y MD5 (hash)
- SHA1 (hash)
- RIPMED-128
Conclusión
Encriptar datos es esencial para cumplir con PCI DSS, y en general, para proteger datos e información sensible. Aunque existe una gran variedad de técnicas y algoritmos de encriptación, no todas son válidas para cumplir con este estándar.
Sabemos que puede sonar algo complicado, por eso, estamos aquí para ayudarte. Si estás pensando en implementar PCI DSS y quieres lograrlo de una manera rápida, eficiente y automatizada contáctanos para conocer lo que podemos hacer por ti.