Mostrando 3 respuestas a los debates
  • Autor
    Entradas
    • #44431
      andresmx89
      Participante

      Buenos Días David

      Tenemos una SAN con el proveedor en hosting compartido y allí tenemos las bases de datos de datos de tarjetahabientes de manera truncada en la columna del PAN,solo dos personas del proveedor tienen acceso a la SAN por temas de gestión pero no a los datos confidenciales.

      Que controles de seguridad debo implementar en la san compartida, sabiendo que la información está truncada y que la cuenta de administrador local desde los servidores solo se habilita cuando el proveedor requiere alguna actividad de soporte o mantenimiento.?

      Se deben cifrar las bases de datos? o con el el pan truncado basta? Que otros mecanismos o controles de seguridad de deben implementar para cumplir con PCI-DSS.

      Muchas Gracias,

    • #44533
      David Acosta
      Participante

      Buenas tardes:

      Para contestarte, me remitiré a la FAQ «Are truncated Primary Account Numbers (PAN) required to be protected in accordance with PCI DSS?»:
      «…Systems that store only truncated PANs (where a segment of PAN data has been permanently removed) may be considered out of scope for PCI DSS if that system is adequately segmented from the cardholder data environment, and does not otherwise store, process or transmit cardholder data or sensitive authentication data. However, the system performing the truncation of the PANs, as well as any connected systems and networks, would be in scope for PCI DSS…»
      https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/Are-truncated-Primary-Account-Numbers-PAN-required-to-be-protected-in-accordance-with-PCI-DSS

      De acuerdo con ello, si dentro de tu entorno almacenas el PAN truncado tal como se estipula en la FAQ «What are acceptable formats for truncation of primary account numbers» https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/What-are-acceptable-formats-for-truncation-of-primary-account-numbers, estos datos se encontrarían fuera del alcance de cumplimiento de PCI DSS y los controles de seguridad que tendrías que aplicar serían los de tu propia Política de Seguridad Corporativa. Dentro del entorno de PCI DSS se encontraría el sistema que se encarga de implementar el truncado como tal, ya que dentro de su lógica se encuentra la obtención del PAN completo para truncarlo.

      Si por el contrario se está almacenando el PAN bajo cualquier otro formato (cifrado o en hash, por ejemplo), los controles que aplicarían serían diferentes. Igualmente, si el truncado no se realiza como lo estipula el PCI SSC es necesario implementar controles adicionales.

      Más información en:
      https://usa.visa.com/download/merchants/pan_truncation_cardholder.pdf

      Haz clic para acceder a PAN_truncation_best_practices.pdf

    • #44534
      andresmx89
      Participante

      Hola David

      Si además de la parte del PAN truncado tengo backups de bases de datos con la columna del PAN cifrado que controles debo aplicar?

      Muchas Gracias,

    • #44535
      David Acosta
      Participante

      Hola Andrés:
      Como lo comenté antes, si usas truncamiento estos datos se encontrarán fuera del alcance de cumplimiento. Pero si almacenas datos del PAN cifrado, claramente todo el escenario cambia y se deberán aplicarán todos los controles del estándar, incluyendo los requerimientos 3.5 y 3.6 asociados a las claves de cifrado. Aquí tu objetivo estará en identificar y aislar aquellos datos cifrados de los que están truncados y de acuerdo con ello establecer el entorno de cumplimiento.
      En conclusión:
      + Datos de PAN truncados: Fuera del alcance
      + Sistema que se encarga de implementar el truncado: Dentro del alcance
      + Datos de PAN cifrados: Dentro del alcance
      Saludos,
      David

Mostrando 3 respuestas a los debates
  • Debes estar registrado para responder a este debate.