Tal como se explica en el artículo «¿Cómo funcionan las tarjetas de pago? Parte I: PAN (Primary Account Number)«, el PAN (Primary Account Number – Número Primario de Cuenta) de una tarjeta de pago se encuentra compuesto por varias partes:

PAN

La estructura de los seis primeros números del PAN (denominados «Número de Identificador del Emisor (IIN – Issuer Identification Number) o «Código de Identificación de Banco» (BIN – Bank Identification Number)) se encuentra definida en el estándar ISO/IEC 7812-1, «Identification cards – Identification of issuers – Part 1: Numbering system».

Esta estructura numérica permite que a cada emisor de tarjetas se le asigne un rango de dígitos que le permitirán identificar a las tarjetas que hayan sido emitidas bajo su responsabilidad. El proceso de esta asignación se describe en el estándar ISO/IEC 7812-2:2015, «Identification cards — Identification of issuers — Part 2: Application and registration procedures«.

Sin embargo, dichos rangos se están agotando, por lo que la Organización Internacional de Normalización (International Organization for Standardization ISO) – entidad encargada de la gestión de este estándar – ha planificado una serie de cambios para afrontar este problema dentro de los cuales se encuentran:

  • Se comenzarán a asignar bloques de IIN de 8 digitos a los emisores de tarjetas para ampliar el rango inicial de 6 dígitos
  • La longitud del PAN (que puede ser de entre 8 hasta 19 dígitos) permanecerá igual

¿Cómo afecta este cambio al estándar PCI DSS?

El estándar PCI DSS en su requisito 3.3 indica lo siguiente:

Requisito 3.3: Enmascare el PAN (número de cuenta principal) cuando aparezca (los primeros seis y los últimos cuatro dígitos es la cantidad máxima de dígitos que aparecerá), de modo que solo el personal con una necesidad comercial legítima pueda ver más que los primeros seis /los últimos cuatro dígitos del PAN.

De esta forma, un PAN genérico (16 dígitos) se protegería (hasta ahora) de la siguiente forma para su visualización:

454881******0004 

Con este nuevo cambio, el requisito 3.3 deberá permitir una visualización – como mínimo – de los primeros 8 dígitos en vez de los primeros 6, tal como se venía haciendo hasta ahora.

Este cambio en la numeración implica modificaciones en:

  • Cualquier pantalla en la que se pueda visualizar el PAN enmascarado
  • Cualquier impresión en papel (recibos, facturas, etc.) que contenga el PAN enmascarado
  • Cualquier aplicativo que aplique controles de enmascaramiento de PAN

Se espera que el PCI SSC incluya estos cambios en la siguiente versión de los estándares PCI DSS, PA DSS y PCI PTS.

Actualización Mayo 2021

Visa y Mastercard han informado que la fecha en la cual empezará a ser efectivo el BIN/IIN de 8 dígitos es Abril de 2022.

Para esta migración, es importante tener en cuenta lo siguiente:

  • Las marcas de pago trabajarán con los emisores de tarjetas para la asignación de los nuevos bloques de BIN/IIN de ocho dígitos y la ampliación de dos dígitos adicionales a los BIN/IIN actuales de seis dígitos.
  • Los procesadores de pago y comercios tendrán que adecuar sus sistemas para realizar el enrutamiento de transacciones empleando los primeros ocho dígitos de la tarjeta. Otros elementos que pueden verse afectados y sobre los cuales habría que identificar el impacto de esta medida son:
    • Dispositivos de punto de venta (POS) e impresión de recibos/facturas
    • Actualización de tablas de BIN/IIN propias (si se usa de esta forma)
  • Los titulares de tarjetas no serán afectados por esta medida. Las tarjetas de pago (plásticos) existentes actualmente continuarán funcionando sin ningún problema (salvo que el propio emisor decida cambiarlas).

Finalmente, se espera que la próxima versión del estándar PCI DSS (4.0) incluya directrices especiales respecto al tratamiento del BIN/IIN tanto en la visualización (req. 3.3) como en el almacenamiento (req. 3.4).

Se puede encontrar información adicional aquí:

Desde PCI Hispano os mantendremos informados de cualquier acción que determine el PCI SSC para asumir este nuevo cambio para la protección de datos de tarjetas de pago.


David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS, TSP y PIN.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.