Protege los datos del titular de la tarjeta
Bienvenid@ a la segunda parte de esta serie. Ya estás en camino a convertirte en un experto de PCI DSS. Hoy hablaremos sobre cómo proteger los datos del titular de la tarjeta. Un must para cualquier e-commerce y todo tipo de industrias que maneje datos confidenciales de tarjetas. Esta es la meta número dos para certificarte en PCI DSS.
Cómo lo hablamos en el artículo pasado, estás metas se dividen en requisitos y sub requisitos. Lo sabemos, suena a que es mucho trabajo pero, ¡no te preocupes! Estamos para ayudarte y explicártelo de la manera más sencilla posible.
Si esta es la primera vez que llegas a nuestro blog, para aprender sobre PCI, te recomendamos que comiences por aquí:
- ¿Qué es PCI DSS y quiénes deben cumplirla?
- PCI DSS: ¿Qué es SAQ, ROC y AOC?
- PCI DSS: Los 12 requisitos [Parte 1]
- PCI DSS: Los 12 requisitos [Parte 2]
- PCI DSS: Los 12 requisitos [Parte 3]
- PCI DSS: Los 12 requisitos [Parte 4]
- PCI DSS: Los 12 requisitos [Parte 5]
- PCI DSS: Los 12 requisitos [Parte 6]
Requisito 3
Entendemos que probablemente quieres almacenar la mayor cantidad de datos posible. Sin embargo, la realidad es que esto no es muy seguro. Debes procurar guardar solamente los datos que sean realmente indispensables. Este requisito se enfoca específicamente en proteger los datos del titular de la tarjeta que son almacenados.
Aquí hablamos del tipo de información que tienes permitido guardar y como encriptarla para que esté segura. Además, específica la importancia de crear y documentar procesos para tus políticas de seguridad.
Ahora, analicemos a que se refiere PCI DSS con “Proteja los datos del titular de la tarjeta que fueron almacenados”:
Sub requisito | Lo que quiere decir |
3.1) Almacene la menor cantidad posible de datos del titular de la tarjeta implementando políticas, procedimientos y procesos de retención y eliminación de datos que incluyan, al menos, las siguientes opciones para el almacenamiento de CHD (datos del titular de la tarjeta): – Limitación del almacenamiento de datos y del tiempo de retención a la cantidad exigida por los requisitos legales, reglamentarios y del negocio -Requisitos de retención específicos para datos de titulares de tarjetas – Procesos para eliminar datos de manera cuando ya no se necesiten – Un proceso trimestral para identificar y eliminar, de manera segura, los datos del titular de la tarjeta almacenados que excedan la retención definida. | Asegúrate de guardar sólo los datos que sean necesarios. También, crea una política para su almacenamiento que defina dónde y por cuánto tiempo estarán resguardados. Recuerda validar cada tres meses que no se haya excedido el tiempo aprobado para la retención de los mismos. |
3.2) No almacene datos confidenciales de autenticación después de recibir la autorización (aun cuando estén cifrados). Si se reciben datos de autenticación confidenciales, convierta todos los datos en irrecuperables al finalizar el proceso de autorización. | Está prohibido almacenar datos confidenciales de las tarjetas como códigos o valores de validación, y los datos de PIN. Hackmetrix insight: estos datos son los más valiosos para los clonadores de tarjetas y cualquier persona aburrida o con malas intenciones (a.k.a niños hackers rusos). |
3.3) Enmascare el PAN (número de cuenta principal) cuando aparezca (los primeros seis o los últimos cuatro dígitos es la cantidad máxima de dígitos que aparecerá), de modo que solo el personal con una necesidad comercial legítima pueda ver más que los primeros seis o los últimos cuatro dígitos del PAN. | Asegúrate de que solo las personas autorizadas y qué por razones del negocio lo requieran, tengan acceso al PAN. Evita el uso fraudulento de esta información tan valiosa. Oculta los números que no sean necesarios al realizar movimientos comerciales. |
3.4) Convierta el PAN (número de cuenta principal) en ilegible en cualquier lugar donde se almacene (incluidos los datos que se almacenen en medios digitales portátiles, en medios de copia de seguridad y en registros) utilizando cualquiera de los siguientes métodos: – Valores hash de una vía basados en criptografía sólida (el hash debe ser del PAN completo) – Truncamiento (los valores hash no se pueden usar para reemplazar el segmento truncado del PAN) – Tokens y ensambladores de índices (los ensambladores se deben almacenar de manera segura). – Criptografía sólida con procesos y procedimientos asociados para la administración de claves. | Todos los PAN que tengas almacenados deben estar protegidos. Para conseguirlo puedes usar diferentes estrategias: -Valor hash: transforma unos carácteres en otros. Por ejemplo: si tu contraseña es “1234” y le aplicas una función hash se transformará a algo diferente. Como podría ser “jgks”·-Truncamiento: aquí eliminamos permanentemente una sección del PAN para su almacenamiento.-Tokens: aquí reemplazas un dato confidencial por uno que no lo es. Un ejemplo serían las fichas de un casino. Para jugar debes cambiar dinero real por fichas, estas son válidas únicamente en un casino en particular. Si alguien las roba, su campo de acción estará limitado ya que no las podrá utilizar en otros casinos.-Criptografía sólida: así es como se comunican los agentes secretos. Este método consiste en transformar un mensaje, en otro que solo pueden entender personas autorizadas. |
3.5) Documente e implemente procedimientos que protejan las claves utilizadas para proteger los datos del titular de la tarjeta almacenados contra su posible divulgación o uso indebido. | ¡Recuerda! Sé riguroso con tus protocolos de seguridad. Documenta y específica cada paso del proceso. |
3.6) Documente por completo e implemente todos los procesos y procedimientos de administración de claves de las claves criptográficas que se utilizan para el cifrado de datos del titular de la tarjeta. | Una clave para otra clave. Tal vez parece un trabalenguas pero básicamente lo que quiere decir es esto: crea claves para proteger el acceso a las claves que protegen los datos. |
3.7) Asegúrese de que las políticas de seguridad y los procedimientos operativos para proteger los datos del titular de la tarjeta almacenados estén documentados, implementados y que sean de conocimiento para todas las partes afectadas. | Tu personal debe documentar, conocer e implementar los procesos y políticas de seguridad para la protección de los datos del titular de la tarjeta. |
Requisito 4
“Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas.” O cómo ponérsela difícil a los piratas cibernéticos y encriptar la información de tus clientes.
Como sabes, en internet todo mundo tiene acceso a todo. Por eso, es importante proteger los datos que tu usuario final te transmite a través de tu plataforma o sitio web.
Asegúrate que durante la transmisión esos datos estén seguros. Hazlos inalcanzables.
Sub requisitos | Lo que quiere decir |
4.1) Utilizar criptografía sólida y protocolos de seguridad para proteger los datos del titular de la tarjeta confidenciales durante la transmisión por redes públicas abiertas, como por ejemplo, las siguientes: – Solo se aceptan claves y certificados de confianza. – El protocolo implementado solo admite configuraciones o versiones seguras. – La solidez del cifrado es la adecuada para la metodología de cifrado que se utiliza.Ejemplos de redes públicas abiertas incluyen, entre otras, las siguientes: *La Internet. * Tecnologías inalámbricas, incluso 802.11 y Bluetooth. *Tecnología celular, por ejemplo, GSM (sistema global de comunicación móviles), CDMA (acceso múltiple por división de código). *Servicio de radio paquete general (GPRS). *Comunicaciones satelitales. | Asegúrate de que tu sitio web y plataforma cuenten con un certificado de seguridad de confianza. Así el intercambio de información en la red pública estará cifrada y restringirá el acceso a personas malintencionadas. |
4.2) Nunca debe enviar PAN no cifrados por medio de tecnologías de mensajería de usuario final (por ejemplo, el correo electrónico, la mensajería instantánea, SMS, el chat, etc.) | Sencillamente no envíes datos importantes como el PAN, a través de WhatsApp, mail, SMS, etc. |
4.3) Asegúrese de que las políticas de seguridad y los procedimientos operativos para cifrar las transmisiones de los datos del titular de la tarjeta estén documentados, implementados y que sean de conocimiento para todas las partes afectadas | Haz un registro de los procesos y políticas de seguridad que usas para cifrar los datos que proporcionan tus clientes. Es importante que tu personal conozca e implemente estos documentos. |
Conclusión
La protección de los datos del titular de la tarjeta es de suma importancia para tu startup si quieres que tus clientes confíen en tí. Esto implica la manera en la que procesas y guardas dichos datos. Recuerda encriptar la información y documentar los controles que implementes.
Más que nada es importante que todos tus empleados tengan muy claros los protocolos de seguridad y los implementen de manera correcta. Además, debes controlar el acceso a la información importante como el PAN. Solamente las personas con objetivo comercial específico deberán tener ese acceso, de lo contrario oculta los datos que no sean extremadamente necesarios.
Si tienes alguna duda, en el apartado de contacto podemos conocernos para que nos cuentes sobre tu caso y asesorarte todavía más a profundidad sobre el tema.