A partir de hoy se inicia en PCI Hispano la publicación de una serie de artículos informativos relacionados con las tecnologías empleadas por las tarjetas de pago y sus componentes.  En esta primera entrega se hará referencia al PAN (Primary Account Number – Número Primario de Cuenta), elemento clave de todo el proceso transaccional con tarjetas.

Historia del PAN (Primary Account Number)

A nivel financiero y con el fin de optimizar la gestión de servicio a los clientes bancarios, cada entidad les asignaba a sus clientes un número mediante el cual se podía acceder a la información de su cuenta (ingresos, egresos, intereses, etc.). Ese número era el identificador principal del contrato y lo representaba ante cualquier transacción. Sin embargo, cada banco establecía este número de forma independiente, obligando a que si un usuario tenía varias cuentas en diferentes bancos, tendría asignados múltiples identificadores.

Debido a la necesidad de establecer un medio común de pago en comercios y ante la aparición y posterior masificación de las tarjetas de crédito y débito como métodos de pago a nivel local e internacional, era necesario permitir el flujo de información bancaria entre las diferentes entidades involucradas para independizar el lugar de la realización del pago del tipo de tarjeta usada. Con este concepto en mente, los bancos empezaron a buscar asociados en diferentes lugares geográficos que aceptaran pagos con sus tarjetas, permitiendo la movilidad de sus clientes. La idea de “asociados” empezó a dar frutos y entre los bancos afiliados optaron por gestionar entre ellos un número de cuenta compartido, de tal forma que un cliente de sus servicios podría hacer uso de dicho número en cualquiera de los bancos afiliados sin problemas.  A raíz de ello surgieron organizaciones como VISA, MasterCard, American Express, JCB y Discover (entre otras), que permitían transacciones interbancarias entre sus asociados, por lo general empleando tarjetas de pago. Este número de cuenta interbancario recibió el nombre de PAN (Primary Account Number) y viene impreso  y/o estampado en altorrelieve en los plásticos de las tarjetas de pago.

Esquema de numeración del PAN (Primary Account Number)

Para permitir operatividad entre los diferentes tipos y marcas de tarjetas, en 1989 la ISO (International Organization for Standardization) publicó el estándar ISO/IEC 7812 “Identification cards — Identification of issuers”.  En este estándar se establecían una serie de criterios para permitir la interoperabilidad de los PAN tanto en comercios como en proveedores de servicio y bancos adquirientes de la siguiente manera:

PAN

Estos dígitos están esquematizados así:

1. Major Industry Identifier (MII): Es el primer dígito del PAN e identifica el tipo de sistema al que la tarjeta está asociada:

  • 0: ISO/TC 68 y otros
  • 1: Aerolíneas
  • 2: Aerolíneas y otros
  • 3: Viajes, entretenimiento y finanzas (American Express, JCB y Diners Club)
  • 4: Banca y finanzas (VISA)
  • 5: Banca y finanzas (MasterCard)
  • 6: Mercadeo y banca/finanzas (Discover)
  • 7: Empresas petroleras y otros
  • 8: Salud, telecomunicaciones y otros
  • 9: Asignaciones futuras

2. Issuer  Identifier  Number (IIN) o Bank Identification Number (BIN): Está compuesto por los seis primeros dígitos de la tarjeta (incluyendo el MII).  Permite la identificación del banco emisor de la tarjeta para efectos de enrutamiento de transacciones interbancarias. Actualmente es gestionado por  la American National Standards Institute (ANSI). Una lista de IIN/BIN se puede encontrar aquí.

3. Individual Account Identification (IAI): este número lo componen los dígitos a partir del séptimo hasta el penúltimo e identifica el número de cuenta asociado al titular de tarjeta.

4. Check Digit: Es el último dígito de la tarjeta y es calculado usando el algoritmo de Luhn.

La longitud del PAN depende muchas veces de la marca de tarjetas que lo gestiona y del área de emisión:

  • Visa y Visa Electron: 13 o 16 dígitos
  • Mastercard: 16 dígitos
  • Discover: 16 dígitos
  • American Express: 15 dígitos
  • Diner’s Club: 14 dígitos
  • Maestro: 12 a 19 dígitos (para tarjetas débito internacionales)
  • JCB: 15 o 16 dígitos (para Japón)

PAN (Primary Account Number) y los estándares del PCI SSC

Debido a las características del PAN (Primary Account Number) como elemento clave dentro de las transacciones con tarjetas de pago, el PCI SSC (Payment Card Industry Security Standards Council) definió una serie de controles de seguridad específicos orientados a la protección de este dato.  Estos controles se encuentran descritos en los siguientes estándares:

  • Payment Card Industry Data Security Standard (PCI DSS), donde se establecen una serie de controles de seguridad para la protección del PAN y que aplica a cualquier entidad que lo almacene, procese, transmita o visualice.
  • Payment Application Data Security Standard (PA-DSS), que define los controles necesarios a ser implementados antes, durante y después del desarrollo de aplicaciones licenciadas por parte de terceros  que procesen el PAN.

De forma general, en estos estándares se describe la necesidad de almacenar el PAN de forma segura si existe una justificación de negocio empleando cualquiera de los siguientes métodos (requerimiento 3.4 de PCI DSS):

  • Valores hash de una vía empleando criptografía sólida
  • Truncamiento
  • Tokenización y ensambladores de índices
  • Criptografía sólida con procesos y procedimientos de gestión de claves relacionados

La idea detrás de la implementación de estos controles es la de proteger el dato del PAN de potenciales fraudes causados por la exposición no controlada de esta información, así como de evitar cualquier almacenamiento intencional o no intencional de otros datos confidenciales como la banda magnética completa, el CVV2 y el PIN/PINBLOCK. Así mismo, si un número de PAN se requiere visualizar solamente se permite la visualización de los primeros 6 dígitos (IIN/BIN) y los 4 últimos (requerimiento 3.3 de PCI DSS).

Como acción preventiva para identificar potenciales ubicaciones en las que el PAN de una tarjeta sea almacenado en texto claro, se pueden emplear las herramientas listadas en el artículo “Herramientas Free y Open Source para la búsqueda de datos de tarjetas de pago en medios de almacenamiento”.

Referencias:

ISO/IEC 7812-1:2006 Identification cards — Identification of issuers — Part 1: Numbering system

ISO/IEC 7812-2:2007 Identification cards — Identification of issuers — Part 2: Application and registration procedures