¿Qué es PCI DSS?
PCI DSS (Payment Card Industry Data Security Standard) o Estándar de seguridad de datos de la industria de tarjetas de pago, es un estándar de seguridad para empresas que manejan tarjetas de las compañías fabricantes de tarjetas de crédito y/o débito. El estándar fue creado por el esfuerzo conjunto de VISA, Mastercard, American Express, JCB International y Discover Financial Services, con el objetivo de garantizar que los comerciantes y las empresas que manejan información de tarjetas de crédito, tengan por lo menos un nivel mínimo de seguridad de la información. El estándar ahora es desarrollado y mantenido por PCI Security Standards Council (SSC), pero las cinco marcas de tarjetas de crédito lo hacen cumplir.
¿Qué pasa con PCI PA DSS?
PA DSS es el estándar por el cual la Aplicación de pago ha sido probada, evaluada y validada. Si usted se encuentra desarrollando una aplicación de pago, también debe cumplir con las normas PA DSS.
¿A quién se aplica PCI DSS?
Todas las organizaciones que procesan información de tarjetas de crédito de las cinco marcas mencionadas anteriormente deben cumplir con PCI DSS o serán multadas / sancionadas por las compañías de tarjetas de crédito. Existen cuatro niveles de cumplimiento según la cantidad de tarjetas de crédito que se procesen cada año:
Nivel 1: más de 6 millones de transacciones al año
Nivel 2: entre 1 y 6 millones de transacciones al año
Nivel 3: entre 20.000 y 1 millón de transacciones al año
Nivel 4: menos de 20.000 transacciones al año
¿Qué dice PCI DSS sobre la clasificación de datos?
La única referencia a la clasificación es el requisito 9.6.1, que establece: Clasifique los medios para que se pueda determinar la sensibilidad de los datos. Por “medios” se entiende: computadoras, medios electrónicos extraíbles, papel, etc. Esto significa que no son los documentos en sí los que deben clasificarse, sino los medios. Pues, ésta computadora o aquella tarjeta de memoria contienen información confidencial.
¿Dónde más podría ser relevante la clasificación de datos?
Bueno, por un lado, la información de la tarjeta de crédito debe almacenarse y procesarse en un sistema protegido (para el cual existen muchos requisitos) y no en documentos de Word o Excel. Un escaneo y una clasificación de datos de los documentos pueden ayudarlo a asegurarse de que no se está procesando la información de la tarjeta de crédito en formularios.
Requisito 2.4: Mantener un inventario de los componentes del sistema que están dentro del alcance de PCI DSS. Esto significa que, debe tener control sobre todas las funciones involucradas en el procesamiento de la información de la tarjeta de crédito.
Requisito 3.1: Mantenga el almacenamiento del titular de la tarjeta al mínimo. Cuando ya no necesite la información, debe eliminarla. Esto significa que debe saber que no tiene la información del titular de la tarjeta almacenada en un documento más allá del tiempo de uso necesario.
Requisito 3.2: No almacene datos de autenticación confidenciales después de la autorización. Los datos de autenticación confidenciales consisten en datos de seguimiento completo, código o valor de validación de la tarjeta y datos PIN. ¡El almacenamiento de datos de autenticación confidenciales después del consentimiento está prohibido! Identificar documentos que contienen este tipo de datos puede reducir el riesgo.
Requisito 4.2 Nunca envíe PAN sin protección mediante tecnologías de mensajería de usuario final (por ejemplo, correo electrónico, mensajería instantánea, SMS, chat, etc.)
Requisito 7.1 Limite el acceso a los componentes del sistema y a los datos del titular de la tarjeta solo a aquellos cuyo trabajo requiera dicho acceso. Esto significa que debe saber si un documento contiene información del titular de la tarjeta, etiquetarlo como confidencial y restringir el acceso, o mejor eliminar el formulario si la información ya no es necesaria.
Resumen: Según PCI DSS, la información del titular de la tarjeta no debería existir en documentos.