Recientemente nos hemos encontrado el caso de algunos clientes que nos han preguntado si un entorno donde se almacenan, procesan o trasmiten datos sensibles de autenticación relacionados con las tarjetas de pago, pero no datos PAN, es susceptible de la aplicación del estándar de seguridad PCI DSS.
Para ponernos en situación, lo primero que tenemos que hacer es identificar los distintos datos que conforman una tarjeta de pago bancaria. Dichos datos son los siguientes:
- PAN (Primary Account Number): Datos identificativos de las tarjetas, formados por el BIN (Bank Identification Number) + otros datos identificativos de las tarjetas en cuestión.
- Cardholder name: Nombre del titular de la tarjeta, necesario para la mayoría de los pagos online.
- Expiration date: Fecha de caducidad de la tarjeta.
- CAV2/CID/CVC2/CVV2: Datos sensibles de autenticación, necesarios para autenticar al dueño de la tarjeta en entornos de pago no presenciales.
- PIN: Datos sensibles de autenticación, no almacenados de manera directa en la tarjeta de pago, necesarios para autenticar al dueño de la tarjeta en entornos de pago presenciales.
Pues bien, la respuesta a esta duda es sencilla, y está recogida en el propio
estándar PCI DSS:
Vemos por lo tanto, que
el estándar PCI DSS aplica a las entidades que procesan, transmiten o almacenan datos sensibles de autenticación, aunque dichas entidades no lleguen a “ver” nunca los datos PAN asociados a las transacciones.
Esta respuesta puede parecer confusa, ya que a priori, dichos datos pueden parecer un conjunto de 3-4 dígitos aislados y aleatorios, de los que aparentemente, no se puede sacar un provecho si dichos datos no van acompañados de un dato PAN, pero hay que tener en cuenta que lo que busca el estándar de seguridad PCI DSS, es la protección de los entornos dónde se traten datos de tarjeta en su conjunto, aunque dicho cumplimiento esté formado por la suma de varios cumplimientos individuales.
Un ejemplo podría ser en el caso dónde un comercio externaliza en un proveedor de servicios el tratamiento/almacenamiento de los datos sensibles de autenticación CVV2 cuando se produce una transacción online. En este caso, si pensamos en el riesgo de seguridad de dicho proveedor de manera individual, puede parecer que los datos CVV2 no requieran de protección de seguridad, ya que con dichos datos individuales a priori no es posible conseguir la realización de una transacción económica. No obstante, si pensamos en el riesgo de seguridad de manera conjunta (entorno del comercio + entorno del proveedor), parece evidente que tanto los datos PAN como los datos CVV2 deben ser protegidos, de esta manera evitaremos que un atacante pueda conseguirlos y realizar transacciones económicas con dichos datos.
Este es precisamente el criterio que sigue el PCI SSC en la definición de sus estándares de seguridad, y, por lo tanto, es lo que lleva a los entornos aislados dónde se almacenan, procesan o transmiten datos sensibles de autenticación a estar sujetos al obligado cumplimiento de los requerimiento de seguridad que marca el estándar PCI DSS.
Autor: Guillem Fàbregas Margenats
CISSP, CISSP Instructor, CISA, CISM, CRISC, PCI QSA, PCIP, ISO 27001 L.A.
Dpto. Consultoría Barcelona