Comprender qué se considera (y qué no se considera) datos de tarjetas de pago es un primer paso importante para comprender cómo cumplir con las PCI DSS. Por lo general, el reglamento solo se aplica al número de cuenta principal (PAN) de una tarjeta de pago. Si otros elementos de datos, como el nombre del titular de la tarjeta, la fecha de vencimiento y/o el código de seguridad están presentes sin ningún PAN, entonces las PCI DSS no se aplican. Sin embargo, si estos otros elementos de datos se almacenan, procesan o transmiten con el PAN, o están presentes de alguna otra manera en el Entorno de datos del titular de la tarjeta (CDE), deben estar protegidos de acuerdo con los requisitos aplicables de PCI DSS, según el sitio web del Consejo de Normas de Seguridad de PCI. 

Cuando se almacena PAN, las normas de PCI exigen que no se pueda leer (PCI FAQ 1222) mediante cifrado, truncamiento, tokenización o hash unidireccional. Independientemente de si la tarjeta está encriptada o convertida en token, los requisitos de PCI se aplican al sistema que aloja el número, ya que el PAN podría invertirse si la clave de cifrado o la tabla de búsqueda de tokens se ven comprometidas. Sin embargo, si el número se trunca (no se enmascara) de modo que el sistema solo almacene un máximo de los primeros 6 dígitos o solo los últimos 4 dígitos del PAN, el número ya no se considera PAN (PCI FAQ 1091) eliminando la necesidad para que ese sistema cumpla con los requisitos de PCI. 

¿Cómo me ayuda Zendesk a cumplir con la norma PCI?

Zendesk tiene una función llamada Campo de ticket compatible con PCI. Permite poner un número de cuenta principal (PAN) en un campo de ticket personalizado en la interfaz de agente de Zendesk. Este número se suprime a los últimos 4 dígitos antes de que los datos se envíen a la interfaz de usuario. Esto cumple con el requisito de protección de tarjetas de pago para el cumplimiento de PCI. Tenga en cuenta que esta función compatible con PCI DSS solo se aplica al producto Support. Si desea más información sobre los controles de seguridad y privacidad que emplea Zendesk, incluidos los que ayudan a respaldar el cumplimiento de PCI, consulte '¿Cumple Zendesk con PCI?'. 

Solicitar una copia de la Atestación de cumplimiento (AoC) (bajo "Artefactos")

¿Qué pasa si no quiero que los usuarios finales pongan el PAN completo en mi instancia de Zendesk? 

Si bien recomendamos encarecidamente ingresar PAN solo a través del campo de ticket compatible con PCI para garantizar el cumplimiento de los estándares de PCI, hay mitigaciones que se pueden implementar para reducir la exposición de estos datos si se ingresan fuera de este campo dedicado. 

Censura automática

Zendesk tiene una función llamada “supresión automática”. Una vez que se activa en el Centro de administración, se puede usar para suprimir nuevos datos relacionados con la tarjeta de pago desde el momento en que se activa. Esto permitirá que el sistema busque números de entre 12 y 16 caracteres y los suprima para los primeros 6 dígitos y los últimos 4 dígitos. Por lo tanto, se reducen las posibilidades de que los datos confidenciales se compartan en exceso o se usen indebidamente. También admite tickets de mensajería. Tenga en cuenta que la supresión automática no se aplica al Centro de ayuda, a Zendesk Chat ni a otros productos de Zendesk. 

Supresión manual (con herramientas de API)

Para usar las herramientas de prevención de pérdida de datos (DLP) y API, es necesario exportar los datos de los tickets de Zendesk a una ubicación segura. Para saber cómo hacerlo, consulte Exportar datos de ticket a través de un documento CSV o XML. Luego, puede usar la API incremental para extraer tickets de un intervalo de fechas específico o el PA I de comentarios de listadopara extraer los comentarios de los tickets. Una vez aislados los datos necesarios de la tarjeta de pago, puede aplicar una de las muchas herramientas de código abierto disponibles para identificar datos confidenciales como PAN. Con la APIde supresión, puede eliminar esta información de los comentarios del ticket. 

Controles de uso y almacenamiento

También puede minimizar la exposición de los datos confidenciales del titular de la cuenta almacenando los datos de la tarjeta de pago solo cuando sea absolutamente necesario y como parte de una necesidad comercial legítima. También se debe evitar compartir PAN sin protección por correo electrónico, mensajería instantánea, chat u otro tipo de comunicación para cumplir con las PCI DSS. 

Del mismo modo, el PAN siempre debe ser ilegible cuando se almacena, incluso en ubicaciones de respaldo, registros y dispositivos portátiles. También se puede usar la criptografía hash unidireccional, el truncamiento que muestra solo los últimos cuatro dígitos de un PIN y métodos similares de control de almacenamiento de encriptación, enmascaramiento y/o truncamiento. 

Como mejor práctica de seguridad general, también debe capacitar a los empleados para que reconozcan e informen cualquier exposición, uso o distribución de datos de tarjetas de pago que no cumplan con las normas dentro de su sistema o en las operaciones diarias. 

¿Cómo se determina si una aplicación o un sistema cumple los requisitos de PCI?

¿El sistema almacena, transmite o procesa datos de tarjetas de pago? Si es así, está dentro del alcance de PCI. Cada compañía es responsable de identificar los sistemas dentro de su entorno donde se aplican los requisitos de PCI DSS. Al hacer esta evaluación, es importante recordar que PCI no solo requiere que todos los sistemas de referencia que almacenan, transmiten o procesan datos de tarjetas de pago estén dentro del alcance de PCI, sino también todos los sistemas conectados directamente a esos sistemas de referencia. El alcance se puede explorar siguiendo los siguientes pasos:

1. Primero, reconozca y documente todos los flujos de datos y sistemas conocidos que se espera que transmitan, procesen o almacenen datos de tarjetas de pago. Estos sistemas conforman el CDE de referencia.
2. En segundo lugar, documente todos los componentes del sistema conectados directamente con el entorno de referencia. Estos sistemas también se consideran parte de su CDE.
3. En tercer lugar, explore los sistemas fuera del CDE que tenga motivos para creer que pueden estar transmitiendo, procesando o almacenando datos de tarjetas de pago. Documente los que encuentre y rastree su ruta hasta el CDE. Algunos de los ejemplos más comunes son los sistemas de correo electrónico, las mesas de ayuda, los repositorios de recursos humanos, los sistemas de informes financieros, las hojas de cálculo de la compañía, etc.

¿Cómo puedo hacer que el cumplimiento de las PCI DSS sea más manejable?  

Para que el cumplimiento de las PCI DSS sea más manejable, es necesario reducir el alcance general de las PCI. Revise su CDE y analice cualquier interfaz que transmita, procese o almacene datos de tarjetas de pago. Cumpla con las mejores prácticas de protección de datos que exigen que solo adquiera y consuma datos confidenciales que son críticos para sus operaciones. Pregúntese lo siguiente:

• ¿Nuestros procesos comerciales requieren el uso de una tarjeta de pago? ¿Cómo estamos usando el PAN?
• ¿Estamos almacenando el PAN completo como un número de referencia, o se usa para respaldar otros procesos comerciales (por ejemplo, facturación automática o devoluciones de cargo)? Si estamos usando el PAN completo como número de referencia, ¿podemos limitar el uso y el almacenamiento truncándolo?
• ¿Tenemos control sobre si un número de tarjeta ingresa o no a un sistema en particular? Por ejemplo, ¿el sistema está asociado con un formulario web, correo electrónico, helpdesko alguna otra interfaz de cara al cliente? Si es así, ¿podemos desarrollar una manera de eliminar o suprimir los datos a medida que ingresan al sistema?
• ¿Hay sistemas auxiliares que se conectan al CDE que realmente no necesitamos? ¿Podemos segmentar esos sistemas a través de reglas de firewall o incluso eliminar las interfaces por completo?
• ¿Son sólidos desde el punto de vista arquitectónico nuestros procesos críticos de negocio? ¿Podemos simplificar algunos de nuestros procesos y eliminar los sistemas del alcance de PCI?
• ¿Almacenamos los datos de las tarjetas de pago por conveniencia? ¿El caso de uso de almacenamiento está claramente aceptado y entendido por las partes interesadas internas, o se está almacenando en preparación para alguna necesidad futura que puede o no presentarse?
• ¿Es el acceso al PAN completo un caso extremo o una práctica común? ¿Nuestra arquitectura se adapta en exceso a estos casos extremos?

Reducir el alcance de PCI tiene la ventaja de reducir el número de sistemas en los que se aplican los requisitos de PCI, reducir el costo del proceso de auditoría y limitar el número de superficies expuestas a ataques en el entorno. Según su experiencia, sus recursos y la cantidad de tiempo que tenga disponible, puede ser conveniente contratar a un experto en PCI para que le guíe en sus esfuerzos de determinación del alcance.

 

Aviso legal

 

Glosario de términos

Adquiriente – También conocido como “banco comercial”, “banco adquirente” o “institución financiera adquirente”. Entidad que inicia y mantiene relaciones con los comerciantes para la aceptación de tarjetas de pago. Por lo general, el adquirente es responsable de monitorear el cumplimiento de PCI en la cuenta del comerciante.

AoC – Acrónimo de Attestation of Compliance. Este es el informe de auditoría que muestra si una organización cumple con PCI y cómo lo hace.

Datos del titular de la tarjeta – Como mínimo, los datos del titular de la tarjeta consisten en el número de cuenta principal (PAN) completo. Los datos del titular de la tarjeta también pueden aparecer en forma de PAN completo más cualquiera de los siguientes: nombre del titular de la tarjeta, fecha de vencimiento y/o código de servicio.

CDE – Entorno de datos del titular de la tarjeta. Las personas, los procesos y la tecnología que almacenan, procesan o transmiten datos del titular de la tarjeta o datos confidenciales de autenticación.

DLP – Prevención de pérdida de datos. El software de prevención de pérdida de datos está diseñado para detectar posibles eventos de violación de datos o pérdida de datos.

Cifrado – Proceso de convertir información en un formato ininteligible, excepto para los poseedores de una clave criptográfica específica. El uso del cifrado protege la información entre el proceso de cifrado y el proceso de descifrado (lo contrario del cifrado) contra la divulgación no autorizada.

Verificación de Luhn – También conocido como el algoritmo “Mod 10”, es una fórmula de suma de verificación simple que se usa para validar una variedad de números de identificación, como números de tarjetas de crédito. La mayoría de las tarjetas de crédito usan el algoritmo como un método sencillo para distinguir los números válidos de los números mal escritos o incorrectos.

Enmascaramiento – Un método para ocultar un segmento de datos cuando se muestra o se imprime. El enmascaramiento se usa cuando no hay un requisito comercial para ver todo el PAN. El enmascaramiento se relaciona con la protección del PAN cuando se muestra o se imprime.

Campo de ticket compatible con PCI – Este campo está diseñado para aceptar números de tarjetas de crédito de los agentes, donde se suprimirá automáticamente el número de tarjeta de crédito a los últimos 4 dígitos antes de que los datos se envíen a la plataforma de Zendesk. Es necesario que este campo esté activado para beneficiarse de la AoC de Zendesk.

PCI-SSC – Acrónimo de Payment Card Industry Security Standards Council. Este consejo fue establecido en 2006 por las cinco marcas de tarjetas de crédito (Visa, MasterCard, American Express, Discover, JCB).

PCI-DSS – El estándar de seguridad de datos de la industria de tarjetas de pago. El PCI SSC creó un estándar unificado al que estarían sujetos todos los comerciantes y proveedores de servicios.

PAN – Número de cuenta principal. También se conoce como “número de cuenta”. Número de tarjeta de pago único (normalmente para tarjetas de crédito o débito) que identifica al emisor y al titular de la tarjeta en particular.

Proveedor de servicios – Entidad comercial (que no es un emisor de tarjetas de pago) que participa directamente en el procesamiento, almacenamiento o transmisión de los datos del titular de la tarjeta en nombre de otra entidad. Esto también incluye a las compañías que brindan servicios que controlan o podrían afectar la seguridad de los datos de los titulares de tarjetas. Los ejemplos incluyen proveedores de servicios administrados que proporcionan firewalls administrados, IDS y otros servicios, así como proveedores de hosting y otras entidades.

QSA – Asesor de seguridad calificado. El PCI SSC cuenta con firmas certificadas para realizar evaluaciones de PCI y ayudar con la validación de PCI; la designación es una firma de QSA, o de manera similar, un individuo en una firma de QSA puede ser certificado como un QSA individual.

Suprimir – El proceso de eliminar información confidencial, como PAN, donde no se necesita.

SAQ – Cuestionario de autoevaluación. Una entidad que valide el cumplimiento de PCI se someterá a una evaluación externa por parte de un QSA, o completará un SAQ y lo enviará a las marcas de tarjetas o a su banco comercial.

Tokenizar – El proceso de dividir un flujo de texto significativo, como el número de la tarjeta de crédito, en elementos de datos llamados tokens que representan los datos reales, pero que por sí solos no tienen sentido. La tokenización es un método para eliminar los datos de las tarjetas de crédito de los sistemas o las bases de datos, lo que reduce el alcance del CDE.

Truncamiento – Método para hacer que el PAN completo sea ilegible mediante la eliminación permanente de un segmento de los datos del PAN. El truncamiento se relaciona con la protección del PAN cuando se almacena en archivos, bases de datos, etc.