Una de las tareas crÃticas en el cumplimiento de PCI DSS es la identificación del alcance (scope) de cumplimiento. El primer paso para determinar qué activos están dentro o fuera de ese alcance es la identificación del tipo de datos de tarjetas de pago que se procesan, se almacenan y/o se transmiten por la entidad y el formato de dichos datos. Dependiendo de esto, la entidad puede determinar la infraestructura asociada (servidores, aplicaciones, NSCs, bases de datos, redes inalámbricas, sistemas de virtualización, etc.), las ubicaciones, el personal y los terceros que harán parte de su entorno de cumplimiento.
El estándar PCI DSS aplica a todas las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas (Cardholder Data – CHD) y/o datos sensibles de autenticación (Sensitive Authentication Data – SAD) – denominados conjuntamente como «datos de cuenta» (Account Data) – o que podrÃan afectar a la seguridad de los datos de titulares de tarjetas y/o datos sensibles de autenticación.

Datos de cuenta (Account Data) en PCI DSS
De igual manera, en el estándar PCI DSS se establecen los controles que deben ser aplicados durante el almacenamiento de estos datos, teniendo en cuenta que si el PAN es almacenado conjuntamente con otros elementos de los datos del titular (CHD), entonces solamente el PAN debe quedar ilegible.

Controles para el almacenamiento de datos de tarjetas
Sin embargo, dependiendo de qué tipo de controles de seguridad se apliquen a los datos y del formato utilizado, el alcance (scope) de cumplimiento se puede ampliar o minimizar. Es por eso que es imprescindible comprender cómo se establecen los criterios de aplicabilidad con base en los tipos de datos y en sus formatos de los datos ANTES de proceder con la identificación del alcance (req. 12.5.2 de PCI DSS v4.x):

Requerimiento 12.5.2 de PCI DSS relacionado con la documentación del alcance de cumplimiento
A continuación se enumeran los tipos de datos y otros activos relacionados que pueden estar o no en el alcance dependiendo de su formato y funcionalidad. No obstante, se aclara que la aplicabilidad de estos criterios puede variar dependiendo de las responsabilidades y los permisos de acceso de las entidades y/o sistemas involucrados:
| Tipo de dato | ¿Cuándo están DENTRO del alcance? | ¿Cuándo están FUERA del alcance? | Referencias |
|---|---|---|---|
| Datos de cuenta (CHD y SAD) en texto claro | Los datos de tarjetas en texto claro se pueden almacenar temporalmente en memoria no persistente (memoria RAM, por ejemplo) mientras que se procesan. Sin embargo, los sistemas que procesan estos datos estarán dentro del alcance. | N/A | FAQ #1042: Should cardholder data be encrypted while in memory? |
| Datos del PAN cifrados | Los datos de PAN cifrados permanecerán en el alcance de PCI DSS:
De igual manera, los sistemas que ejecutan rutinas de cifrado y descifrado de datos, los sistemas que desempeñan tareas de gestión de claves y cualquier sistema o red conectada deberán estar dentro del alcance. | Los datos de PAN cifrados se pueden considerar fuera del alcance cuando la entidad recibe y/o almacena datos cifrados únicamente, no tiene acceso a los datos en claro ni a las claves criptográficas relacionadas ni tampoco tiene la capacidad de descifrarlos. | Sección 4 del estándar PCI DSS: Scope of PCI DSS Requirements FAQ #1086: How does encrypted cardholder data impact PCI DSS scope? |
| Hash criptográfico con clave (keyed cryptographic hashing) | Los datos de PAN completo protegidos con hash criptográfico con clave estarán en el alcance si estos datos son almacenados en el mismo sistema que ejecuta el hashing. De igual manera, los sistemas que ejecutan rutinas de hashing de datos, los sistemas que desempeñan tareas de gestión de claves y cualquier sistema o red conectada deberán estar dentro del alcance. | Los datos de PAN protegidos con hash criptográfico con clave se pueden considerar fuera del alcance cuando dichos datos:
| FAQ #1089: How can hashing be used to protect Primary Account Numbers (PAN) and in what circumstances can hashed PANs be considered out of scope for PCI DSS? |
| Datos del PAN tokenizados (tokens de adquiriencia) | Cuando se usan tokens de adquiriencia se pueden emplear distintos métodos para su generación. Sin embargo, los tokens de PANs estarán en el alcance si estos son almacenados en el mismo sistema que ejecuta la tokenización. De igual manera, los sistemas que ejecutan rutinas de tokenización de datos, los sistemas que desempeñan tareas de gestión de claves (si aplican) y cualquier sistema o red conectada deberán estar dentro del alcance. | Los datos de PAN protegidos mediante tokenización se pueden considerar fuera del alcance cuando dichos datos:
| FAQ #1384: What is the difference between ‘acquiring tokens’, ‘issuer tokens’, and ‘Payment Tokens’? FAQ #1385: Which types of tokens are addressed by the PCI SSC tokenization documents? |
| Datos de PAN truncado (truncated) | Cuando se emplea truncamiento del PAN (remoción de una determinada cantidad de dÃgitos) para su almacenamiento siguiendo los criterios establecidos por las marcas, los sistemas que ejecutan el truncamiento, asà como cualquier sistema o red conectada deberán estar dentro del alcance. | Los datos de PAN protegidos mediante truncamiento durante su almacenamiento se pueden considerar fuera del alcance cuando dichos datos:
| FAQ #1117: Are truncated Primary Account Numbers (PAN) required to be protected in accordance with PCI DSS? FAQ #1091: What are acceptable formats for truncation of primary account numbers? |
| Datos de PAN enmascarado (masked) | Cuando se emplea enmascaramiento (masking) para proteger el PAN durante su visualización en pantallas, recibos, impresiones, etc., los sistemas que realizan el enmascaramiento, asà como cualquier sistema o red conectada, deberán estar dentro del alcance. | Los datos de PAN protegidos con enmascaramiento durante su visualización se pueden considerar fuera del alcance cuando no se permite la visualización del PAN original de ninguna manera (por ejemplo en recibos en papel). | FAQ #1146: What is the difference between masking and truncation? |
Una vez la entidad haya realizado la identificación de su alcance, se recomienda involucrar a un asesor QSA para su evaluación.
Déjanos un mensaje si tienes alguna duda respecto a este artÃculo.