Etiquetado: Pan En Claro
- Este debate tiene 1 respuesta, 2 mensajes y ha sido actualizado por última vez el hace 1 año, 6 meses por
David Acosta.
-
AutorEntradas
-
-
noviembre 20, 2020 a las 1:23 #54348
Atila6
ParticipanteBuenas tardes,
Quería saber en caso de almacenar información de PAN en Claro por razones de negocio, cual es el mejor control compensatorio o alternativas para poder cumplir PCIDSS hasta plantear una solución final (Pe: que guarde esta información en archivos con encriptación PGP)Espero su amable respuesta.
Sl2,
Atila -
noviembre 28, 2020 a las 18:49 #54391
David Acosta
ParticipanteBuenas tardes:
En el caso que exista una justificación técnica o administrativa que impida la implementación del requerimiento de PCI DSS conforme lo indica el estándar, se puede emplear un control compensatorio (https://www.pcihispano.com/controles-compensatorios-que-son-y-cuando-se-utilizan/). Es importante tener en cuenta que para la elección y validación de dichos controles es altamente recomendable emplear el soporte de un asesor QSA para evitar problemas futuros.
Respecto al almacenamiento, el requerimiento 3.4 ofrece diferentes alternativas para proteger los datos del PAN de forma segura:
– Usando criptografía fuerte (https://www.pcihispano.com/que-algoritmos-criptograficos-se-deben-emplear-para-cumplir-con-pci-dss/)
– Usando funciones criptográficas de ua sola vía (one-way) o hash
– Usando tokenización (https://www.pcihispano.com/el-concepto-de-tokenizacion-y-su-aplicabilidad-en-pci-dss/)
– Usando truncamiento (https://www.pcihispano.com/diferencias-entre-enmascaramiento-y-truncamiento-en-pci-dss/)
Adicionalmente, si los datos son almacenados en un medio de almacenamiento removible, se puede emplear la encriptación a nivel de disco (https://www.pcihispano.com/consideraciones-para-el-cifrado-de-disco-y-cumplir-con-el-requisito-3-4-1-de-pci-dss/).
La alternativa que comentas (usar encriptación PGP) es un formato correcto de almacenamiento que cumple con el requerimiento 3.4 (criptografía fuerte). No obstante, si se usa criptografía, los requisitos 3.5 y 3.6 (relacionados con la gestión de claves de encriptación) también aplican.
Para darte una respuesta más ajustada, me vendría bien que me cuentes en dónde estarán guardados los datos (un archivo, una base de datos, etc.) y la razón por la cual se requieren esos datos en claro.
Saludos,
David
-
-
AutorEntradas
- Debes estar registrado para responder a este debate.