En concreto, la normativa PCI-DSS obliga a las organizaciones que procesan, almacenan y que transmiten datos de titulares de tarjeta a asegurar la información para evitar los fraudes asociados a las tarjetas de pago, estableciendo una serie de requisitos técnicos, operativos y de negocio desarrollados para proteger la información relativa a los titulares de tarjetas.

Entre los datos que la norma obliga a proteger están los del titular de la tarjeta y exige el cifrar la transmisión de estos datos en las redes públicas abiertas, así como al rastreo y supervisión de todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas.

“Las plataformas de medios de pago actuales –explica Miguel Gil, director de Banca de Bull- no cumplen esta normativa, que impacta en el intercambio de información con otras aplicaciones y entidades en las que aparece el Personal Account Number (PAN), en el almacenamiento de la información, en los ficheros en los que se trata esta información y en las interfaces con otras aplicaciones”. El no cumplimiento de la normativa en medios de pago se podría propagar al resto de la entidad quedando toda ella comprometida.

La normativa quiere acabar con el robo de información y el uso fraudulento de las tarjetas y mejorar el nivel de seguridad de los pagos, minimizando el riesgo ante posibles intrusiones. Asimismo, incrementa la confianza de los usuarios en las transacciones realizadas con tarjetas y permite luchar contra la suplantación y otros fraudes que se producen en Internet. Para ello, la normativa protege el PAN y los datos asociados como la fecha de caducidad, el nombre del titular de la tarjeta, el código de servicio de la tarjeta y los datos de la banda magnética.

“Todo componente del “sistema” que almacene, transmita o procese datos de los titulares de tarjetas está obligado a su cumplimento, como comercios, proveedores de servicios y entidades adquirentes”, indica Miguel Gil. Estas últimas, además, tienen la responsabilidad de asegurar que sus comercios conocen la normativa, del seguimiento de su cumplimiento y de comunicar su estado.

La solución de Bull

En síntesis, la propuesta de Bull contempla los servicios de “tokenizado” y “ofuscamiento”/enmascaramiento. Así, en el primero de los servicios (tokenizado) los datos que son confidenciales y necesarios se reemplazan con valores (tokens) del mismo tipo y tamaño, que hacen referencia a los datos confidenciales, que se cifran y almacenarán en el sistema de “tokenización”. Se completa con el mantenimiento de una tabla de pares con la información cifrada de modo seguro del PAN en claro y su correspondiente “tokenizado”, tanto para tarjetas propias como ajenas.

Por su parte, el servicio de “ofuscamiento” hace ilegibles los datos no necesarios, que solo se mostrarán al usuario, mientras que al resto de la instalación aparecen enmascarados, asegurando la integridad de las comunicaciones al no procesar información sensible.

También hay que señalar que Bull implementa una capa segura, controlada y auditada, de acceso a la información. El diseño de la tabla de pares es compatible con la gestión segura de las claves de criptografía y los cambios planificados de las mismas. En paralelo, actualiza los registros de las tablas del modelo de datos y las interfases de medios de pago en los que se almacene el PAN en claro con el PAN “tokenizado”.

También identifica los soportes intercambiados con otras aplicaciones que contienen la información afectada por PCI-DSS para que los departamentos implicados hagan uso de los servicios habilitados y analicen el impacto de PCI en sus modelos de datos. Del mismo modo, localiza los soportes que se envían o reciben con otras entidades para la revisión de los requisitos de PCI y para evaluar la necesidad de cifrado de información y el enmascaramiento de la información a mostrar en las distintas interfases: pantallas, listados. La solución incluye cifrado y descifrado de la mensajería que se trata con aquellas entidades con las que se intercambia información de forma segura.

Finalmente habilita servicios de registro que permitan acotar el alcance de algún riesgo: mediante el registro de usuario, evento, fecha... para los eventos auditables que contiene el requisito 10 (rastree y supervise los datos de los titulares de las tarjetas), es posible identificar rápidamente un riesgo potencial y, con suficiente detalle conocer quién, qué, dónde, cuándo y cómo.