Tal como se explica en el artículo “¿Cómo funcionan las tarjetas de pago? Parte I: PAN (Primary Account Number)“, el PAN (Primary Account Number – Número Primario de Cuenta) de una tarjeta de pago se encuentra compuesto por varias partes:

PAN

La estructura de los seis primeros números del PAN (denominados “Número de Identificador del Emisor (IIN – Issuer Identification Number) o “Código de Identificación de Banco” (BIN – Bank Identification Number)) se encuentra definida en el estándar ISO/IEC 7812-1, “Identification cards – Identification of issuers – Part 1: Numbering system”.

Esta estructura numérica permite que a cada emisor de tarjetas se le asigne un rango de dígitos que le permitirán identificar a las tarjetas que hayan sido emitidas bajo su responsabilidad. El proceso de esta asignación se describe en el estándar ISO/IEC 7812-2:2015, “Identification cards — Identification of issuers — Part 2: Application and registration procedures“.

Sin embargo, dichos rangos se están agotando, por lo que la Organización Internacional de Normalización (International Organization for Standardization ISO) – entidad encargada de la gestión de este estándar – ha planificado una serie de cambios para afrontar este problema dentro de los cuales se encuentran:

  • Se comenzarán a asignar bloques de IIN de 8 digitos a los emisores de tarjetas para ampliar el rango inicial de 6 dígitos
  • La longitud del PAN (que puede ser de entre 8 hasta 19 dígitos) permanecerá igual

¿Cómo afecta este cambio al estándar PCI DSS?

El estándar PCI DSS en su requisito 3.3 indica lo siguiente:

Requisito 3.3: Enmascare el PAN (número de cuenta principal) cuando aparezca (los primeros seis y los últimos cuatro dígitos es la cantidad máxima de dígitos que aparecerá), de modo que solo el personal con una necesidad comercial legítima pueda ver más que los primeros seis /los últimos cuatro dígitos del PAN.

De esta forma, un PAN genérico (16 dígitos) se protegería (hasta ahora) de la siguiente forma para su visualización:

454881******0004 

Con este nuevo cambio, el requisito 3.3 deberá permitir una visualización – como mínimo – de los primeros 8 dígitos en vez de los primeros 6, tal como se venía haciendo hasta ahora.

Este cambio en la numeración implica modificaciones en:

  • Cualquier pantalla en la que se pueda visualizar el PAN enmascarado
  • Cualquier impresión en papel (recibos, facturas, etc.) que contenga el PAN enmascarado
  • Cualquier aplicativo que aplique controles de enmascaramiento de PAN

Se espera que el PCI SSC incluya estos cambios en la siguiente versión de los estándares PCI DSS, PA DSS y PCI PTS.

Desde PCI Hispano os mantendremos informados de cualquier acción que determine el PCI SSC para asumir este nuevo cambio para la protección de datos de tarjetas de pago.