Una de las tareas críticas en el cumplimiento de PCI DSS es la identificación del alcance (scope) de cumplimiento. El primer paso para determinar qué activos están dentro o fuera de ese alcance es la identificación del tipo de datos de tarjetas de pago que se procesan, se almacenan y/o se transmiten por la entidad y el formato de dichos datos. Dependiendo de esto, la entidad puede determinar la infraestructura asociada (servidores, aplicaciones, NSCs, bases de datos, redes inalámbricas, sistemas de virtualización, etc.), las ubicaciones, el personal y los terceros que harán parte de su entorno de cumplimiento.

El estándar PCI DSS aplica a todas las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas (Cardholder Data – CHD) y/o datos sensibles de autenticación (Sensitive Authentication Data – SAD) – denominados conjuntamente como «datos de cuenta» (Account Data) – o que podrían afectar a la seguridad de los datos de titulares de tarjetas y/o datos sensibles de autenticación.

Datos de cuenta (Account Data) en PCI DSS

De igual manera, en el estándar PCI DSS se establecen los controles que deben ser aplicados durante el almacenamiento de estos datos, teniendo en cuenta que si el PAN es almacenado conjuntamente con otros elementos de los datos del titular (CHD), entonces solamente el PAN debe quedar ilegible.

Controles para el almacenamiento de datos de tarjetas

Sin embargo, dependiendo de qué tipo de controles de seguridad se apliquen a los datos y del formato utilizado, el alcance (scope) de cumplimiento se puede ampliar o minimizar. Es por eso que es imprescindible comprender cómo se establecen los criterios de aplicabilidad con base en los tipos de datos y en sus formatos de los datos ANTES de proceder con la identificación del alcance (req. 12.5.2 de PCI DSS v4.x):

Requerimiento 12.5.2 de PCI DSS relacionado con la documentación del alcance de cumplimiento

A continuación se enumeran los tipos de datos y otros activos relacionados que pueden estar o no en el alcance dependiendo de su formato y funcionalidad. No obstante, se aclara que la aplicabilidad de estos criterios puede variar dependiendo de las responsabilidades y los permisos de acceso de las entidades y/o sistemas involucrados:

Tipo de dato¿Cuándo están DENTRO del alcance?¿Cuándo están FUERA del alcance?Referencias
Datos de cuenta (CHD y SAD) en texto claroLos datos de tarjetas en texto claro se pueden almacenar temporalmente en memoria no persistente (memoria RAM, por ejemplo) mientras que se procesan. Sin embargo, los sistemas que procesan estos datos estarán dentro del alcance.N/AFAQ #1042: Should cardholder data be encrypted while in memory?
Datos del PAN cifradosLos datos de PAN cifrados permanecerán en el alcance de PCI DSS:

  • Si los datos cifrados no se han aislado de los procesos de cifrado y descifrado y de las funciones de gestión de claves.
  • Si los datos cifrados están presentes en un sistema o medio que también contiene la clave de descifrado.
  • Si los datos cifrados están presentes en el mismo entorno en el que se encuentra la clave de descifrado.
  • Si los datos cifrados son accesibles a una entidad que también tenga acceso a la clave de descifrado.

De igual manera, los sistemas que ejecutan rutinas de cifrado y descifrado de datos, los sistemas que desempeñan tareas de gestión de claves y cualquier sistema o red conectada deberán estar dentro del alcance.

Los datos de PAN cifrados se pueden considerar fuera del alcance cuando la entidad recibe y/o almacena datos cifrados únicamente, no tiene acceso a los datos en claro ni a las claves criptográficas relacionadas ni tampoco tiene la capacidad de descifrarlos.Sección 4 del estándar PCI DSS: Scope of PCI DSS Requirements

FAQ #1086: How does encrypted cardholder data impact PCI DSS scope?

Hash criptográfico con clave (keyed cryptographic hashing)Los datos de PAN completo protegidos con hash criptográfico con clave estarán en el alcance si estos datos son almacenados en el mismo sistema que ejecuta el hashing.

De igual manera, los sistemas que ejecutan rutinas de hashing de datos, los sistemas que desempeñan tareas de gestión de claves y cualquier sistema o red conectada deberán estar dentro del alcance.

Los datos de PAN protegidos con hash criptográfico con clave se pueden considerar fuera del alcance cuando dichos datos:

  • Son transferidos y almacenados en un entorno separado (segmentado adecuadamente del CDE).
  • No se tiene acceso al PAN original en claro o a las claves criptográficas asociadas.
  • No se procesan, almacenan y/o transmiten datos de titulares de tarjetas (CHD) o datos sensibles de autenticación (SAD) de ninguna otra manera.
FAQ #1089: How can hashing be used to protect Primary Account Numbers (PAN) and in what circumstances can hashed PANs be considered out of scope for PCI DSS?
Datos del PAN tokenizados (tokens de adquiriencia)
Cuando se usan tokens de adquiriencia se pueden emplear distintos métodos para su generación.

Sin embargo, los tokens de PANs estarán en el alcance si estos son almacenados en el mismo sistema que ejecuta la tokenización.

De igual manera, los sistemas que ejecutan rutinas de tokenización de datos, los sistemas que desempeñan tareas de gestión de claves (si aplican) y cualquier sistema o red conectada deberán estar dentro del alcance.

Los datos de PAN protegidos mediante tokenización se pueden considerar fuera del alcance cuando dichos datos:

  • Son transferidos y almacenados en un entorno separado (segmentado adecuadamente del CDE).
  • No se tiene acceso al PAN original en claro o a las claves criptográficas asociadas.
  • No se procesan, almacenan y/o transmiten datos de titulares de tarjetas (CHD) o datos sensibles de autenticación (SAD) de ninguna otra manera.
FAQ #1384: What is the difference between ‘acquiring tokens’, ‘issuer tokens’, and ‘Payment Tokens’?

FAQ #1385: Which types of tokens are addressed by the PCI SSC tokenization documents?

Datos de PAN truncado (truncated)Cuando se emplea truncamiento del PAN (remoción de una determinada cantidad de dígitos) para su almacenamiento siguiendo los criterios establecidos por las marcas,  los sistemas que ejecutan el truncamiento, así como cualquier sistema o red conectada deberán estar dentro del alcance.Los datos de PAN protegidos mediante truncamiento durante su almacenamiento se pueden considerar fuera del alcance cuando dichos datos:

  • Son transferidos y almacenados en un entorno separado (segmentado adecuadamente del CDE).
  • No se tiene acceso al PAN original en claro.
  • No se procesan, almacenan y/o transmiten datos de titulares de tarjetas (CHD) o datos sensibles de autenticación (SAD) de ninguna otra manera.
FAQ #1117: Are truncated Primary Account Numbers (PAN) required to be protected in accordance with PCI DSS?

FAQ #1091: What are acceptable formats for truncation of primary account numbers?

FAQ #1315: Is storage of truncated PAN considered storage of «cardholder data» per the SAQ eligibility criteria?

Datos de PAN enmascarado (masked)Cuando se emplea enmascaramiento (masking) para proteger el PAN durante su visualización en pantallas, recibos, impresiones, etc., los sistemas que realizan el enmascaramiento, así como cualquier sistema o red conectada, deberán estar dentro del alcance.Los datos de PAN protegidos con enmascaramiento durante su visualización se pueden considerar fuera del alcance cuando no se permite la visualización del PAN original de ninguna manera (por ejemplo en recibos en papel).FAQ #1146: What is the difference between masking and truncation?

Una vez la entidad haya realizado la identificación de su alcance, se recomienda involucrar a un asesor QSA para su evaluación.

Déjanos un mensaje si tienes alguna duda respecto a este artículo.

Posted by David Acosta

Qualified Security Assessor (QSA) para PCI DSS, PCI PIN, PCI 3DS, P2PE y PCI TSP. CISSP, CISA, CISM, CRISC, C|EH, C|HFI.

Deja un comentario