Los consumidores de hoy quieren pagos con un solo clic o invisibles. La pregunta es, ¿cómo pueden los comerciantes facilitar de forma segura estas transacciones sin almacenar los datos del titular de la tarjeta? Terry Rourke, eCommerce and Omni Channel Merchants – Marketing de ACI WorldWide  explica que no es posible almacenar datos de titulares de tarjetas sin alcance PCI, pero eso no significa que no pueda almacenar una referencia a él.

El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) sugiere que cualquier persona que maneje datos confidenciales del titular de la tarjeta no los almacene en claro a menos que sea absolutamente necesario. Con las tecnologías y los procesos actuales disponibles, nunca es “absolutamente necesario”, por lo que los comerciantes (o los PSP) nunca deben tener los datos del titular de la tarjeta en claro, ni durante la transmisión, ni almacenados en ningún lugar al que puedan acceder los piratas informáticos.

El problema es que los consumidores de hoy quieren pagos invisibles o con un solo clic. Entonces, ¿cómo pueden los comerciantes facilitar estas transacciones de manera segura sin almacenar los datos del titular de la tarjeta?

PCI DSS se define por 12 requisitos, divididos en 220 subrequisitos. A los efectos de esta discusión, nos centraremos en el requisito 3. El requisito 3 de PCI DSS es “proteger los datos almacenados del titular de la tarjeta”. Si se van a conservar los datos del titular de la tarjeta, los requisitos de cumplimiento de PCI dictan que los datos del titular de la tarjeta deben volverse ilegibles utilizando técnicas estándar de la industria.

PCI asume que es necesario almacenar datos de titulares de tarjetas para autorizar transacciones adicionales con los clientes. En última instancia, el número de cuenta principal (PAN) siempre debe estar protegido y enmascarado cuando se muestre. Hacer que los datos de PAN sean ilegibles significa que los datos se vuelven prácticamente inútiles para los estafadores. Los datos adicionales del titular de la tarjeta, incluidos el nombre del titular de la tarjeta, el código de servicio y la fecha de vencimiento, deben protegerse si se almacenan con el PAN. Todos los datos confidenciales de autenticación (CVV, PIN y todo lo relacionado con la banda MAG) nunca deben almacenarse.

El requisito 3.4 de PCI DSS proporciona varias opciones para hacer que los datos de PAN sean ilegibles, que incluyen:

• Fuertes hashes unidireccionales (funciones o técnicas que se utilizan para codificar contraseñas y otro texto sin formato en texto ilegible para almacenar y transmitir) basados ​​en criptografía en los que se debe codificar todo el PAN
• Truncamiento que almacena una sección PAN (no debe exceder los primeros seis y los últimos cuatro dígitos)
• Tokenización, que tiene un reemplazo o proxy para el PAN
• Criptografía sólida centrada en los procesos de gestión de claves y los procedimientos de seguridad.

Los comerciantes que planean usar PAN almacenados deben hacer que los datos sean ilegibles mediante encriptación o tokenización. PCI DSS requiere el uso de claves y tokens, como un token criptográfico, que reemplaza un PAN por un valor desconocido basado en un directorio específico.

Muchas de las otras secciones del Requisito 3 de PCI DSS involucran el proceso criptográfico, que incluye la generación, documentación y administración de claves criptográficas. Si bien el cifrado es un excelente método de seguridad, es engorroso por decir lo menos y se utiliza mejor para transmitir información confidencial en lugar de almacenar y utilizar datos almacenados del titular de la tarjeta. Los tokens son una mejor opción, ya que se pueden almacenar en el mismo formato (16 dígitos) y se pueden enmascarar parcialmente. Esto significa que puede crear un token seguro que no modifique la parte del PAN. Si los primeros 6 dígitos que representan el BIN (número de identificación bancaria) no se modifican, se pueden mejorar el enrutamiento y la generación de informes. Muchos comerciantes también optan por no cambiar los últimos 4 dígitos del número de tarjeta. Esto es útil para la verificación y el servicio al cliente. Dejar parte de un token sin cambios hace que los tokens sean seguros y útiles.

En referencia a las fichas, existen variaciones tanto reversibles como no reversibles. Debido a que no hay una buena razón para almacenar una ficha que no sea reversible, nos concentraremos en las fichas reversibles.

Los tokens reversibles tienen el potencial de volver a convertirse en PAN mediante el proceso de destokenización. Para los tokens no criptográficos reversibles, la obtención del PAN de su token solo se puede realizar mediante una búsqueda de datos en una bóveda de datos de tarjeta segura (CDV), que normalmente recuperaría el PAN de una tabla de PAN a token dentro del bóveda. Un usuario autorizado puede obtener el PAN original de su token con una solicitud de destokenización a través de un mecanismo de control de acceso adecuado. El uso autorizado se realiza mejor a través de un proveedor de servicios de tokenización que es una entidad de terceros (por ejemplo, un procesador, adquirente o pasarela de pagos) que brinda servicios de tokenización a otras entidades (como comerciantes).

Si bien no puede almacenar datos de titulares de tarjetas, puede usar un esquema de tokenización para reemplazarlo y almacenar el token único en sus sistemas, sin que el sistema entre en el ámbito de PCI.

Fuente:

https://www.aciworldwide.com/blog