Tal como se explica en el artículo «¿Cómo funcionan las tarjetas de pago? Parte I: PAN (Primary Account Number)«, el PAN (Primary Account Number – Número Primario de Cuenta) de una tarjeta de pago se encuentra compuesto por varias partes:

PAN

La estructura de los seis primeros números del PAN (denominados «Número de Identificador del Emisor (IIN – Issuer Identification Number) o «Código de Identificación de Banco» (BIN – Bank Identification Number)) se encuentra definida en el estándar ISO/IEC 7812-1, «Identification cards – Identification of issuers – Part 1: Numbering system».

Esta estructura numérica permite que a cada emisor de tarjetas se le asigne un rango de dígitos que le permitirán identificar a las tarjetas que hayan sido emitidas bajo su responsabilidad. El proceso de esta asignación se describe en el estándar ISO/IEC 7812-2:2015, «Identification cards — Identification of issuers — Part 2: Application and registration procedures«.

Sin embargo, dichos rangos se están agotando, por lo que la Organización Internacional de Normalización (International Organization for Standardization ISO) – entidad encargada de la gestión de este estándar – ha planificado una serie de cambios para afrontar este problema dentro de los cuales se encuentran:

  • Se comenzarán a asignar bloques de IIN de 8 digitos a los emisores de tarjetas para ampliar el rango inicial de 6 dígitos
  • La longitud del PAN (que puede ser de entre 8 hasta 19 dígitos) permanecerá igual

¿Cómo afecta este cambio al estándar PCI DSS?

El estándar PCI DSS en su requisito 3.3 indica lo siguiente:

Requisito 3.3: Enmascare el PAN (número de cuenta principal) cuando aparezca (los primeros seis y los últimos cuatro dígitos es la cantidad máxima de dígitos que aparecerá), de modo que solo el personal con una necesidad comercial legítima pueda ver más que los primeros seis /los últimos cuatro dígitos del PAN.

De esta forma, un PAN genérico (16 dígitos) se protegería (hasta ahora) de la siguiente forma para su visualización:

454881******0004 

Con este nuevo cambio, el requisito 3.3 deberá permitir una visualización – como mínimo – de los primeros 8 dígitos en vez de los primeros 6, tal como se venía haciendo hasta ahora.

Este cambio en la numeración implica modificaciones en:

  • Cualquier pantalla en la que se pueda visualizar el PAN enmascarado
  • Cualquier impresión en papel (recibos, facturas, etc.) que contenga el PAN enmascarado
  • Cualquier aplicativo que aplique controles de enmascaramiento de PAN

Se espera que el PCI SSC incluya estos cambios en la siguiente versión de los estándares PCI DSS, PA DSS y PCI PTS.

Desde PCI Hispano os mantendremos informados de cualquier acción que determine el PCI SSC para asumir este nuevo cambio para la protección de datos de tarjetas de pago.

Avatar

Autor: David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS y TSP.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.