Actualización 11/2021: Se ha cambiado la tabla de tipos de truncamiento aceptado por cada marca de pago de la FAQ #1091, actualizada en noviembre de 2021.

Actualización 11/2021: Se ha agregado el documento de Mastercard «8-Digit BIN Expansion and PCI Standards» en donde se describen los criterios a seguir para el cumplimiento de PCI DSS cuando se usan BINes de 8 dígitos.

Actualización 09/2021: Se ha agregado la información oficial del PCI SSC y de las marcas respecto al cumplimiento con PCI DSS cuando se emplean BIN/IIN de ocho dígitos.


Tal y como se explica en el artículo «¿Cómo funcionan las tarjetas de pago? Parte I: PAN (Primary Account Number)«, el PAN (Primary Account Number – Número Primario de Cuenta) de una tarjeta de pago se encuentra compuesto por varias partes:

PAN

La estructura de los seis primeros números del PAN (denominados «Número de Identificador del Emisor (IIN – Issuer Identification Number) o «Código de Identificación de Banco» (BIN – Bank Identification Number)) se encuentra definida en el estándar ISO/IEC 7812-1, «Identification cards – Identification of issuers – Part 1: Numbering system».

Esta estructura numérica permite que a cada emisor de tarjetas se le asigne un rango de dígitos que le permitirán identificar a las tarjetas que hayan sido emitidas bajo su responsabilidad. El proceso de esta asignación se describe en el estándar ISO/IEC 7812-2:2015, «Identification cards — Identification of issuers — Part 2: Application and registration procedures«.

Sin embargo, dichos rangos se están agotando, por lo que la Organización Internacional de Normalización (International Organization for Standardization ISO) – entidad encargada de la gestión de este estándar – ha planificado una serie de cambios. Para ello:

  • Se ha comenzado a asignar bloques de BIN/IIN de 8 digitos a los emisores de tarjetas para ampliar el rango inicial de 6 dígitos.
  • La longitud del PAN (que puede ser de entre 8 hasta 19 dígitos) permanecerá igual.

 

¿Para qué se utiliza el BIN/IIN?

El BIN/IIN de un PAN se emplea para enrutar una transacción desde el adquiriente hacia el banco emisor correspondiente para realizar la autorización, como se muestra a continuación:

Cada tarjeta de pago tiene un Número de Cuenta Principal (Primary Account Number – PAN)

  1. En el momento en el que el titular realiza una transacción presencial (en un cajero automático, en una terminal de pago o vía comercio electrónico), el adquiriente captura los datos de esa tarjeta.
  2. Para realizar la autorización de la transacción, es necesario validar si la cuenta tiene fondos o dispone de crédito. En ese caso, es indispensable contactar al emisor (el banco del titular que emitió la tarjeta).
  3. Para ello, se extraen los 6 u 8 primeros números del PAN, se realiza una búsqueda en una base de datos de BINes y se identifica al emisor.
  4. El emisor recibe los datos de la transacción y devuelve la respuesta (autorizada o no).

En este sentido, la base de datos de BINes funciona de forma similar a un sistema de resolución de nombres de dominio (DNS): Obtiene datos numéricos del PAN y los convierte en información del banco emisor para que la transacción pueda ser enrutada y autorizada. Debido a que los rangos de BINes actuales de seis (6) dígitos se están agotando, ahora la identificación de los emisores se realizará con los primeros ocho (8) dígitos del PAN.

¿Cómo afecta este cambio a la visualización del PAN?

El estándar PCI DSS v3.2.1 en su requisito 3.3 indica lo siguiente:

Requisito 3.3: Enmascare el PAN (número de cuenta principal) cuando aparezca (los primeros seis y/o los últimos cuatro dígitos es la cantidad máxima de dígitos que aparecerá), de modo que solo el personal con una necesidad comercial legítima pueda ver más que los primeros seis /los últimos cuatro dígitos del PAN.

De esta forma, un PAN genérico (16 dígitos) se protege de la siguiente forma para su visualización (enmascaramiento o «asteriscado») en pantallas, recibos en papel, impresiones, etc.:

454881******0004 

Sin embargo, con la entrada en vigencia de los nuevos BIN/IIN de ocho (8) dígitos, este requerimiento no cambia en absoluto: Solamente se podrán seguir visualizando los seis (6) primeros y los cuatro (4) últimos dígitos del PAN.  Si se necesita la visualización de datos adicionales (incluyendo los dígitos 7 y 8 vinculados con el nuevo formato de BIN/IIN), la entidad deberá contar con una justificación legítima y con un listado de personal autorizado (roles) que pueden visualizar más dígitos de los permitidos.

Con la migración a BINes de 8 dígitos, el criterio de visualización de dígitos del PAN es el siguiente:

  • Si no existe una justificación técnica o de negocio, se debe continuar con la visualización de los seis (6) primeros y los cuatro (4) últimos dígitos del PAN únicamente.
  • Si existe una justificación técnica o de negocio que requiera la visualización de dígitos adicionales a los seis (6) primeros y los cuatro (4) últimos digitos del PAN, entonces se debe documentar dicha justificación e identificar los roles/personas que pueden visualizar estos datos.

¿Cómo afecta este cambio al truncamiento del PAN cuando es almacenado?

Por otro lado, una de las opciones válidas que permite el estándar PCI DSS v3.2.1 para almacenar de forma segura el PAN de la tarjeta es mediante el truncamiento:

Requisito 3.4 Convierta el PAN (número de cuenta principal) en ilegible en cualquier lugar donde se almacene (incluidos los datos que se almacenen en medios digitales portátiles, en medios de copia de seguridad y en registros) utilizando cualquiera de los siguientes métodos:
• Valores hash de una vía basados en criptografía sólida (el hash debe ser del PAN completo)
Truncamiento (los valores hash no se pueden usar para reemplazar el segmento truncado del PAN)
• Tokens y ensambladores de índices (los ensambladores se deben almacenar de manera segura).
• Criptografía sólida con procesos y procedimientos asociados para la administración de claves.

El truncamiento (truncation) consiste en la remoción permanente de una grupo de dígitos (segmento) del PAN antes de que sea almacenado, procesado y/o transmitido.

A diferencia de la visualización, el cambio de BIN/IIN de seis (6) dígitos a ocho (8) sí afecta este requisito, debido a que cada una de las marcas de pago tiene diferentes criterios en este punto. Para proceder, es importante tener en cuenta lo siguiente:

  • SI no existe ninguna restricción de negocio o técnica, se debe continuar realizando el truncamiento como se venía realizando (manteniendo solamente los seis (6) primeros y los cuatro (4) últimos dígitos de la tarjeta y removiendo permanentemente los dígitos intermedios)
  • En el caso que se necesiten más dígitos, se debe consultar esta tabla que describe las políticas de las marcas en este sentido:

Con la migración a BINes de 8 dígitos, el criterio de truncamiento de dígitos del PAN para su almacenamiento es el siguiente:

  • Si no existe una justificación técnica o de negocio, se debe continuar con el truncamiento de los dígitos intermedios entre los seis (6) primeros y los cuatro (4) últimos dígitos del PAN únicamente.
  • Si existe una justificación técnica o de negocio que requiera la retención de dígitos adicionales en texto claro, entonces se debe consultar la tabla de truncamiento en donde se debe identificar la cantidad y la ubicación de dígitos que se pueden conservar en texto claro en función de la longitud del PAN.
  • Si se emplean múltiples formas de truncamiento que puedan permitir la obtención de más dígitos en claro del mismo PAN, entonces se debe emplear una estrategia adicional de protección de los datos del PAN en el almacenamiento (cifrado, hashing, tokenización).

Ejemplos de visualización y truncamiento

A continuación se listan algunos ejemplos de visualización y truncamiento de PAN y su cumplimiento con PCI DSS con base en los criterios de las marcas y del PCI SSC:

 

Posición oficial de las marcas de pago

Por otro lado, Mastercard en su documento «8-Digit BIN Expansion and PCI Standards» (publicado en octubre 20, 2021) especifica que:

  • Si no existe ninguna justificación técnica ni de negocio para visualizar o almacenar los 8 primeros dígitos del PAN, entonces se debe continuar con el mismo criterio que se marcaba anteriormente: almacenar y/o visualizar solamente los seis (6) primeros y los cuatro (4) últimos dígitos del PAN.
  • Si se requiere la visualización de dígitos adicionales a los seis (6) primeros y cuatro (4) últimos, entonces se debe contar con una lista de los roles autorizados para visualizar más dígitos y tener su justificación documentada.
  • Si se requiere el almacenamiento del PAN empleando truncamiento, los máximos dígitos que se pueden almacenar son los primeros ocho (8) y cualquier otros cuatro (4). Esto solamente es permitido si existe una justificación de negocio o técnica. De lo contrario, se recomienda continuar almacenando solamente los seis (6) primeros y los cuatro (4) últimos.

Como se puede observar, la posición de Mastercard en este sentido está alineada con los criterios establecidos por el PCI SSC.

Notas adicionales

Visa y Mastercard han informado que la fecha en la cual empezará a ser efectivo el BIN/IIN de 8 dígitos es Abril de 2022.

Para esta migración, es importante tener en cuenta lo siguiente:

  • Las marcas de pago trabajarán con los emisores de tarjetas para la asignación de los nuevos bloques de BIN/IIN de ocho dígitos y la ampliación de dos dígitos adicionales a los BIN/IIN actuales de seis dígitos.
  • Los procesadores de pago y comercios tendrán que adecuar sus sistemas para realizar el enrutamiento de transacciones empleando los primeros ocho dígitos de la tarjeta. Otros elementos que pueden verse afectados y sobre los cuales habría que identificar el impacto de esta medida son:
    • Dispositivos de punto de venta (POS) e impresión de recibos/facturas
    • Actualización de tablas de BIN/IIN propias (si se usa de esta forma)
  • Los titulares de tarjetas no serán afectados por esta medida. Las tarjetas de pago (plásticos) existentes actualmente continuarán funcionando sin ningún problema (salvo que el propio emisor decida cambiarlas).

Finalmente, se espera que la próxima versión del estándar PCI DSS (4.0) incluya directrices especiales respecto al tratamiento del BIN/IIN tanto en la visualización (req. 3.3) como en el almacenamiento (req. 3.4).

Referencias

Desde PCI Hispano os mantendremos informados de cualquier acción que determine el PCI SSC para asumir este nuevo cambio para la protección de datos de tarjetas de pago.


David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS, TSP y PIN.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.