El 25 de mayo de 2018 entró en aplicación el
Reglamento General de Protección de Datos Europeo (o
General Data Protection Regulation, de aquí en adelante GDPR), que remplazó a la Directiva de Protección de Datos 95/46/EC, y que fue diseñado con el objetivo de alinear todas las leyes de protección de datos en países europeos, proteger y darle control de sus datos privados a los ciudadanos europeos y establecer un marco de trabajo homogéneo en términos de privacidad para que las organizaciones e individuos puedan ejercer sus derechos y conozcan sus responsabilidades.
A pesar de que ya existían estándares orientados a la protección de la información de identificación personal (Personally Identifiable Information – PII) como el estándar ISO/IEC 29100:2011 y recomendaciones internacionales en materia de protección de datos provenientes de la OCDE (Organización para la Cooperación y el Desarrollo Económicos), del Foro de Cooperación Económica Asia Pacífico (APEC), de Federal CIO Council, de la Red de Autoridades Francófonas, de la Red Iberoamericana de Protección de Datos y de la Global Privacy Enforcement Network (GPEN), ninguno de ellos había tenido el impacto que ha tenido este reglamento, sobre todo motivado por los altos costes de las multas por incumplimiento (4% de la facturación anual o hasta 20 millones de Euros) y en la obligatoriedad de su implementación por parte de los estados miembro (GDPR es un reglamento, no una directiva, no requiere que los gobiernos nacionales aprueben ninguna legislación habilitante y es directamente vinculante y aplicable).
En términos de aplicabilidad de este reglamento, el elemento clave que lo define es el concepto de datos personales. Según la Comisión Europea, los datos personales son "toda información sobre una persona física identificada o identificable ("el interesado")". Por otro lado, complementa: "se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona". Algunos ejemplos de datos personales son:
"La gente acude a mí y me dice: '¿Cómo logro el cumplimiento de GDPR?' ... Comience con PCI DSS".
A continuación, se presenta una tabla comparativa entre GDPR y PCI DSS, que le permitirá al lector establecer las pautas básicas para el establecimiento de programas de alineación entre estos dos marcos normativos.
Ya sea que se necesite implementar GDPR en un entorno alineado con PCI DSS o viceversa, el primer paso consistirá en la ejecución de un análisis diferencial de cumplimiento ("gap analysis") para detectar incumplimientos y definir acciones correctivas.
Conclusión
Por definición, el dato del PAN (Primary Account Number – Número Primario de Cuenta) y los demás datos vinculados con tarjetas de pago (nombre del titular, datos completos de la banda magnética, etc.) son considerados como información personal de identificación (" Personally Identifiable Information" - PII), ya que que pueden usarse para identificar, contactar o localizar a una persona en concreto, o pueden usarse, junto a otras fuentes de información, para hacerlo.
Por esta razón, aparte de los controles de seguridad exigidos por las marcas de pago para su protección (como es el caso de PCI DSS), también requieren cumplir con las normativas legales de protección de datos exigidas en cada región (como es el caso de GDPR). En este caso, hay que tener presente que PCI DSS no sustituye las leyes locales ni regionales, las regulaciones gubernamentales ni otros requisitos legales.
Autor: David Eduardo Acosta CISSP|I, CISM, CISA, CRISC, C|EH, C|HFI Instructor, OPST, PCI SSC QSA for DSS/P2PE/3DS/TSP Dpto. Consultoría
A pesar de que ya existían estándares orientados a la protección de la información de identificación personal (Personally Identifiable Information – PII) como el estándar ISO/IEC 29100:2011 y recomendaciones internacionales en materia de protección de datos provenientes de la OCDE (Organización para la Cooperación y el Desarrollo Económicos), del Foro de Cooperación Económica Asia Pacífico (APEC), de Federal CIO Council, de la Red de Autoridades Francófonas, de la Red Iberoamericana de Protección de Datos y de la Global Privacy Enforcement Network (GPEN), ninguno de ellos había tenido el impacto que ha tenido este reglamento, sobre todo motivado por los altos costes de las multas por incumplimiento (4% de la facturación anual o hasta 20 millones de Euros) y en la obligatoriedad de su implementación por parte de los estados miembro (GDPR es un reglamento, no una directiva, no requiere que los gobiernos nacionales aprueben ninguna legislación habilitante y es directamente vinculante y aplicable).
En términos de aplicabilidad de este reglamento, el elemento clave que lo define es el concepto de datos personales. Según la Comisión Europea, los datos personales son "toda información sobre una persona física identificada o identificable ("el interesado")". Por otro lado, complementa: "se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona". Algunos ejemplos de datos personales son:
- Nombre y apellidos,
- Domicilio,
- Dirección de correo electrónico, del tipo nombre.apellido@empresa.com,
- Número de documento nacional de identidad,
- Datos de localización (como la función de los datos de localización de un teléfono móvil),
- Dirección de protocolo de internet (IP),
- El identificador de una cookie,
- El identificador de la publicidad del teléfono,
- Los datos en poder de un hospital o médico, que podrían ser un símbolo que identificara de forma única a una persona.
- Datos de tarjetas de pago (PAN y nombre del titular).
"La gente acude a mí y me dice: '¿Cómo logro el cumplimiento de GDPR?' ... Comience con PCI DSS".
A continuación, se presenta una tabla comparativa entre GDPR y PCI DSS, que le permitirá al lector establecer las pautas básicas para el establecimiento de programas de alineación entre estos dos marcos normativos.
RGPD/GDPR | PCI DSS | |
Tipo | Legal/Gubernamental (regulación europea). | Industrial (marcas de tarjetas que conforman el PCI SSC: VISA, MasterCard, AMEX, Discover y JCB). |
Organismo global encargado del marco normativo | Comité Europeo de Protección de Datos (artículo 68). | Payment Card Industry Security Standards Council (PCI SSC). |
Fecha efectiva de cumplimiento | 25 de mayo de 2018 (artículo 99). | La primera versión de PCI DSS se publicó el 14 de diciembre de 2004. Se realizan actualizaciones de versiones de forma periódica. |
Cuerpo normativo remplazado | El RGPD / GDPR remplaza y deroga a la Directiva 95/46/EC del Parlamento Europeo (artículo 94). | PCI DSS remplaza (pero no deroga) los estándares de seguridad de cada una de las marcas de pago:
|
Datos dentro del alcance de cumplimiento | Aplica al tratamiento total o parcialmente automatizado de datos personales (información personal de identificación / "Personally Identifiable Information" - PII) relacionados con personas en la Unión Europea (artículo 2). | El número de cuenta principal (Primary Account Number - PAN) es el factor que define la aplicabilidad de PCI DSS. Si el nombre del titular de tarjeta, el código de servicio y/o la fecha de vencimiento se almacenan, procesan o transmiten con el PAN o se encuentran presentes de algún otro modo en el entorno de datos del titular de la tarjeta, se deben proteger de conformidad con los requisitos aplicables de PCI DSS. |
Operaciones afectadas | Aplica a cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción; (artículo 4). | Aplica a cualquier operación de almacenamiento, procesamiento o transmisión de datos del titular de la tarjeta (CHD) y/o datos confidenciales de autenticación (SAD). |
Derechos del interesado | Los ciudadanos europeos tienen derecho a lo siguiente (artículo 13):
|
No se contemplan derechos específicos de los interesados sobre los datos de tarjetas de pago obtenidos en función del negocio. |
Solicitud de consentimiento | Una solicitud de consentimiento en el momento de la captura de los datos personales debe presentarse de forma clara y concisa, empleando un lenguaje fácil de entender, y diferenciarse claramente de otras informaciones, como las condiciones de uso. La solicitud debe especificar qué uso se hará de sus datos personales e incluir los datos de contacto de la empresa que trata los datos. El consentimiento debe darse libremente y ser una manifestación específica, informada e inequívoca (artículo 7). | No se requiere de una solicitud de consentimiento explícita en el momento de captura de los datos de tarjetas de pago. |
Entidades que lo deben cumplir | Se definen dos grupos de entidades que deben cumplir con este reglamento, siempre que traten con información personal de identificación de ciudadanos en la Unión Europea, no importa su ubicación (capítulo IV):
|
En función de la cantidad anual de transacciones con tarjetas realizadas y del tipo de entidad (comercio o proveedor de servicio), se requiere:
|
Controles de seguridad a implementar | La aplicabilidad de medidas técnicas y organizativas para demostrar la conformidad del tratamiento con el Reglamento son discrecionales (no se describen de forma explícita) y deben ser elegidas por el Responsable o el Encargado del tratamiento (artículos 25 y 32) mediante el concepto de protección de los datos desde el diseño y por defecto. | Las medidas técnicas, físicas y administrativas a implementar se describen a lo largo de los 12 requisitos del estándar. Se trata de controles de seguridad a bajo nivel definidos explícitamente. También se incluyen controles alternativos o compensatorios, en caso de que la implementación del control descrito en el estándar no pueda ser cubierta debido a una justificación técnica o de negocio. |
Técnicas para la protección de los datos afectados |
|
|
Persona encargada de la supervisión del cumplimiento en la organización | Se debe designar un delegado de protección de datos (artículo 37) siempre que:
|
Se requiere definir un rol de responsable de cumplimiento de PCI DSS si la entidad afectada es un proveedor de servicio (req. 12.4.1) o una entidad designada (según el anexo A3 – A3.1.1). Para los demás comercios es solo una recomendación. |
Entidad encargada de supervisar la aplicación del marco normativo | Cada Estado miembro delega la responsabilidad de supervisar la aplicación del marco normativo en una "autoridad de control" ("supervisory authority") o "autoridad nacional de protección de datos" (APD), con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión (artículo 51). | Las marcas de tarjetas de pago gestionan de forma independiente el cumplimiento de los comercios y proveedores de servicio. Pueden delegar la centralización de reportes de cumplimiento en bancos adquirientes. |
Realización de evaluaciones de impacto / análisis de riesgos | Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales (artículo 35). | Para identificar los potenciales riesgos que puedan afectar a los activos del entorno de cumplimiento, PCI DSS requiere la realización anual de un análisis formal de riesgos basado en una metodología aceptada por la industria (req. 12.2). |
Umbrales de almacenamiento de los datos protegidos | Los datos personales deben ser mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales ("limitación del plazo de conservación" - artículo 5). | No se deben almacenar los datos confidenciales de autenticación después de la autorización, incluso si están cifrados (req. 3.1). |
Reporte de brechas de seguridad (incidentes) | En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación (artículo 33). | El requisito 12.10 requiere la definición de un plan de respuesta a incidentes, su revisión y prueba anual, designación de personal y formación al mismo y un plan de mejora contínua. El reporte de incidentes se debe dirigir directamente a las marcas, de acuerdo con los procedimientos y tiempos estipulados por cada una de estas entidades. Igualmente, incluye la necesidad de realizar un análisis de requisitos legales necesarios para el informe de riesgos, dentro de los cuales se contempla GDPR. |
Comunicación de una brecha de seguridad al interesado | Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida (artículo 34). | No se requiere de forma explícita una notificación al interesado, pero esta acción puede formar parte de las actividades de prevención, contención y recuperación del incidente a ser establecidas por las marcas posterior a una investigación. |
Responsable de la investigación de incidentes | Las tareas de investigación de incidentes relacionados con datos personales recaen en la autoridad de control. | Dependiendo de la magnitud del incidente, las marcas pueden exigirle a la entidad afectada la contratación de los servicios de un PCI Forensic Investigator (PFI). Los PFI son empresas homologadas y listadas en el sitio web del PCI SSC encargadas de la investigación, generación de reportes y soporte a la entidad afectada en caso de un incidente. |
Sanciones por incumplimiento | Se sancionará con multas administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía (artículo 83). | Las multas por incumplimiento son establecidas de forma unilateral por las marcas de pago en función del incidente. No existen tablas públicas con estos datos. |
Ya sea que se necesite implementar GDPR en un entorno alineado con PCI DSS o viceversa, el primer paso consistirá en la ejecución de un análisis diferencial de cumplimiento ("gap analysis") para detectar incumplimientos y definir acciones correctivas.
Conclusión
Por definición, el dato del PAN (Primary Account Number – Número Primario de Cuenta) y los demás datos vinculados con tarjetas de pago (nombre del titular, datos completos de la banda magnética, etc.) son considerados como información personal de identificación (" Personally Identifiable Information" - PII), ya que que pueden usarse para identificar, contactar o localizar a una persona en concreto, o pueden usarse, junto a otras fuentes de información, para hacerlo.
Por esta razón, aparte de los controles de seguridad exigidos por las marcas de pago para su protección (como es el caso de PCI DSS), también requieren cumplir con las normativas legales de protección de datos exigidas en cada región (como es el caso de GDPR). En este caso, hay que tener presente que PCI DSS no sustituye las leyes locales ni regionales, las regulaciones gubernamentales ni otros requisitos legales.
Autor: David Eduardo Acosta CISSP|I, CISM, CISA, CRISC, C|EH, C|HFI Instructor, OPST, PCI SSC QSA for DSS/P2PE/3DS/TSP Dpto. Consultoría