Este debate contiene 4 respuestas, tiene 3 mensajes y lo actualizó David Acosta David Acosta hace 2 meses, 3 semanas.

  • Autor
    Publicaciones
  • #46927
    Avatar
    Jesus Repiso
    Participante

    Hola David
    Encantado de poder participar.

    Leyendo la documentación de PCI sobre almacenamiento de datos de tarjetas me planteo lo siguiente.
    Con el avance de las prestaciones de las cámaras de video vigilancia, y la necesidad de que dichas cámaras cubran los dispositivos de pago para poder ver si son manipulados, pienso que quizá dichas cámaras puedan llegar a captar la imagen de las tarjetas de crédito al ser utilizadas, incluso el CVV o más aún, podría captar hasta el PIN al ser tecleado por el titular…
    Entonces, ¿el lugar donde se guardan dichas grabaciones entraría en el ámbito de PCI? ¿Podría si quiera almacenarse ya que contendrían presuntamente datos que no deben ser almacenados?

  • #46948
    David Acosta
    David Acosta
    Participante

    Buenas tardes Jesús:

    Me alegra verte por aquí.

    Respecto a la pregunta que me haces, es MUY IMPORTANTE que tengas en cuenta lo que se indica en el requisito 9.1.1 en referencia a CCTV:

    “Áreas confidenciales” hace referencia a cualquier centro de datos, sala de servidores o cualquier área que aloje sistemas que almacenan procesos o transmitan datos de titulares de tarjetas. No se incluyen las áreas públicas en las que se encuentran presentes terminales de punto de venta, tales como el área de cajas en un comercio.

    Es decir: PCI DSS no te exige que grabes directamente los datáfonos ni mucho menos a los cajeros/terminalistas (esto ya no por PCI DSS sino por temas de protección de datos y legislación de privacidad). No obstante, si lo deseas (pero ya no es obligatorio), puedes emplear videovigilancia teniendo cuidado de enfocar las cámaras de tal forma que no enfoquen el teclado del datáfono o a las personas.

    Para la seguridad de los datáfonos se pueden emplear otras técnicas, que es lo que te pide el requisito 9.9: verificaciones físicas de las terminales, formación a los empleados, etc.

    Espero que esta información te haya sido útil.

    David

  • #46957
    Avatar
    Jesus Repiso
    Participante

    Muy útil David, como siempre. Muchas gracias!!

  • #49288
    Avatar
    Paco
    Participante

    Buenas tardes,

    Les queria consultar con respecto a ese punto:

    Tengo el datacenter por ejemplo en el piso 4 en un sector X. En ese mismo piso en el sector Y hay gente trabajando y salas de reunion. ¿Las camaras de video solo deben estar en la entrada y salida del datacenter? ¿se podria implementar el sistema biometrico?
    Hay que tener en cuenta que tenemos implementado el sistema de tarjetas a la entrada del piso e inventario de las personas que ingresan y salen.

    gracias.

  • #49340
    David Acosta
    David Acosta
    Participante

    Buenas tardes:

    Respecto a la duda de la grabación con CCTV en los sectores X y Y, depende si el acceso a ambos sectores es por la misma puerta. Si es así, entonces la grabación sí que debería cubrir el ingreso general. Si son entradas diferentes o se puede limitar la grabación a solamente el acceso al sector X del datacenter, entonces la grabación debería cubrir ese área. Se debe intentar (hasta donde sea posible) NO grabar áreas públicas (como salas de reuniones o lugares de trabajo) debido a las implicaciones en temas de privacidad que ello conlleva. Hay que pensar que el objetivo del requerimiento es controlar el acceso (entrada/salida) a áreas sensibles (en este caso, al datacenter).

    Por otro lado, el requisito 9.1.1 de PCI DSS indica:
    «9.1.1 Use either video cameras or access control mechanisms (or both) to monitor individual physical access to sensitive areas.»
    Es decir que se puede optar por emplear CCTV o un control de acceso (como el biométrico) o emplearlos ambos.

Debes estar registrado para responder a este debate.