Red de información TI para profesionales ITMedia NetWork

lunes, 19 de agosto de 2019
Actualizado a las 23:18


Búsqueda avanzada

Publicidad

Publicidad

Soluciones de negocio

Medios de pago: Una solución de Bull protege los datos de los usuarios de tarjetas de crédito

01 Mayo 2014

La multinacional Bull es una de las primeras consultoras en ofrecer una solución que permite a las entidades financieras adaptar sus sistemas de medios de pago a la nueva norma Payment Card Industry Security Standards Council (PCI-DSS), que todavía no cumplen las plataformas de medios de pago y que pretende acabar con el robo de información y el uso fraudulento de las tarjetas de crédito.

En concreto, la normativa PCI-DSS obliga a las organizaciones que procesan, almacenan y que transmiten datos de titulares de tarjeta a asegurar la información para evitar los fraudes asociados a las tarjetas de pago, estableciendo una serie de requisitos técnicos, operativos y de negocio desarrollados para proteger la información relativa a los titulares de tarjetas.

Entre los datos que la norma obliga a proteger están los del titular de la tarjeta y exige el cifrar la transmisión de estos datos en las redes públicas abiertas, así como al rastreo y supervisión de todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas.

“Las plataformas de medios de pago actuales –explica Miguel Gil, director de Banca de Bull- no cumplen esta normativa, que impacta en el intercambio de información con otras aplicaciones y entidades en las que aparece el Personal Account Number (PAN), en el almacenamiento de la información, en los ficheros en los que se trata esta información y en las interfaces con otras aplicaciones”. El no cumplimiento de la normativa en medios de pago se podría propagar al resto de la entidad quedando toda ella comprometida.

La normativa quiere acabar con el robo de información y el uso fraudulento de las tarjetas y mejorar el nivel de seguridad de los pagos, minimizando el riesgo ante posibles intrusiones. Asimismo, incrementa la confianza de los usuarios en las transacciones realizadas con tarjetas y permite luchar contra la suplantación y otros fraudes que se producen en Internet. Para ello, la normativa protege el PAN y los datos asociados como la fecha de caducidad, el nombre del titular de la tarjeta, el código de servicio de la tarjeta y los datos de la banda magnética.

“Todo componente del “sistema” que almacene, transmita o procese datos de los titulares de tarjetas está obligado a su cumplimento, como comercios, proveedores de servicios y entidades adquirentes”, indica Miguel Gil. Estas últimas, además, tienen la responsabilidad de asegurar que sus comercios conocen la normativa, del seguimiento de su cumplimiento y de comunicar su estado.

La solución de Bull

En síntesis, la propuesta de Bull contempla los servicios de “tokenizado” y “ofuscamiento”/enmascaramiento. Así, en el primero de los servicios (tokenizado) los datos que son confidenciales y necesarios se reemplazan con valores (tokens) del mismo tipo y tamaño, que hacen referencia a los datos confidenciales, que se cifran y almacenarán en el sistema de “tokenización”. Se completa con el mantenimiento de una tabla de pares con la información cifrada de modo seguro del PAN en claro y su correspondiente “tokenizado”, tanto para tarjetas propias como ajenas.

Por su parte, el servicio de “ofuscamiento” hace ilegibles los datos no necesarios, que solo se mostrarán al usuario, mientras que al resto de la instalación aparecen enmascarados, asegurando la integridad de las comunicaciones al no procesar información sensible.

También hay que señalar que Bull implementa una capa segura, controlada y auditada, de acceso a la información. El diseño de la tabla de pares es compatible con la gestión segura de las claves de criptografía y los cambios planificados de las mismas. En paralelo, actualiza los registros de las tablas del modelo de datos y las interfases de medios de pago en los que se almacene el PAN en claro con el PAN “tokenizado”.

También identifica los soportes intercambiados con otras aplicaciones que contienen la información afectada por PCI-DSS para que los departamentos implicados hagan uso de los servicios habilitados y analicen el impacto de PCI en sus modelos de datos. Del mismo modo, localiza los soportes que se envían o reciben con otras entidades para la revisión de los requisitos de PCI y para evaluar la necesidad de cifrado de información y el enmascaramiento de la información a mostrar en las distintas interfases: pantallas, listados. La solución incluye cifrado y descifrado de la mensajería que se trata con aquellas entidades con las que se intercambia información de forma segura.

Finalmente habilita servicios de registro que permitan acotar el alcance de algún riesgo: mediante el registro de usuario, evento, fecha... para los eventos auditables que contiene el requisito 10 (rastree y supervise los datos de los titulares de las tarjetas), es posible identificar rápidamente un riesgo potencial y, con suficiente detalle conocer quién, qué, dónde, cuándo y cómo.

ShareThis

Publicidad

Publicidad

Publicidad

Opinión

Bryan Landerman, Enterprise Strategist en Amazon Web Services

Cómo abordar la transformación... Vosotros también podéis llegar a la meta

Muchas empresas se enfrentan a proyectos de transformación digital aun reconociendo que no se encuentran en posiciones idóneas para hacerlo. Bryan Landerman, Enterprise Strategist en Amazon Web Services, reconoce las capacidades de la nube para automatizar, securizar y proporcionar infraestructura TI, y no solo eso: “es una base espléndida para la innovación y para acelerar la creación de productos”, aunque el proceso no está exento de dificultades

Soluciones

Las cámaras del Samsung Galaxy S10 5G arrasan en el ranking DxOMark

El Galaxy S10 5G ha logrado situarse como el número uno del ranking de cámaras DxOMark, tanto para la principal como para la cámara selfie, valorándose de forma especial sus capacidades de fotografía y de vídeo, con una puntuación total de 112, 117 en fotografía y 100 en vídeo

techWEEK info

TechWEEK forma parte de la red de información TI para profesionales de IDG Communications.


Sitios especializados de ITMedia NetWork: IT CIO.es, IT PYMES.es, IT SEGURIDAD.es, Strategic Partner, NUEVAempresa.com.

ITMedia NetWork. © 2006 - 2019 Information Technology & Media S.A. (CIF A-84950211). Todos los derechos reservados.

Envío de artículos por email de techWEEK.es

Por favor, introduzca la siguiente información











Cerrar

Envío de artículos por email de techWEEK.es

Procesando envíos...

Envío de artículos por email de techWEEK.es

Email enviado. Cerrar

Envío de artículos por email de techWEEK.es

Error en el envio. Pulse aqui para cerrar.Cerrar