El cumplimiento de PCI requiere más de 300 controles de seguridad y una docena de requisitos que van desde la seguridad de la red hasta la encriptación de datos. Para la mayoría de las empresas, lograr y mantener el cumplimiento es un proceso difícil y costoso, pero no tiene por qué ser así.

En este post, explicaremos cómo la tokenización puede ayudar a agilizar tus esfuerzos para cumplir con PCI DSS.

Usaremos ideas del webinar Secureframe Expert Insights realizado el 9 de marzo, con la participación del experto en cumplimiento de Secureframe Marc Rubbinaccio, CISSP, CISA y el cofundador y COO de Basis Theory, Brian Billingsley. Para conocer todos sus consejos sobre cómo simplificar el cumplimiento de PCI con tokenización y automatización, mira el replay del video a demanda.

¿Qué es la tokenización de PCI?

La tokenización se refiere al proceso de intercambiar datos sensibles por un identificador no sensible y no explotable (un “token”).

Algunos comerciantes que deben cumplir con PCI DSS usan la tokenización para reducir o eliminar la necesidad de retener datos de los titulares de tarjetas (CHD) en su entorno una vez que se han procesado las transacciones iniciales. Reemplazar CHD con tokens reduce la cantidad de datos de los titulares de tarjetas en el entorno y el número de componentes del sistema para los cuales se aplican los requisitos de PCI DSS, lo que puede ayudar a simplificar el cumplimiento.

Al trabajar con un proveedor de servicios de tokenización, las organizaciones que buscan cumplir con PCI pueden continuar almacenando, procesando y transmitiendo datos de los titulares de tarjetas sin ser responsables de la seguridad de esos datos. En su lugar, transfieren este riesgo al proveedor de servicios.

Es importante tener en cuenta que el requisito 3.2 de la PCI DSS no permite el almacenamiento de datos de autenticación sensibles después de la autorización, incluidos los datos de la banda magnética o su equivalente en un chip, datos CAV2 / CVC2 / CVV2 / CID y PINs/bloques PIN, a menos que también realices servicios de emisión.

¿Requiere PCI la tokenización?

No, PCI no requiere tokenización para el almacenamiento de CHD. Sin embargo, el uso de la tokenización puede reducir el alcance general de PCI y, a su vez, la cantidad de esfuerzo requerido para cumplir con los requisitos de PCI DSS. Por lo tanto, es una estrategia de seguridad de datos cada vez más común para las organizaciones que buscan cumplir con PCI DSS.

¿Cómo es diferente la tokenización de la encriptación?

La tokenización y el cifrado son métodos para asegurar datos sensibles, pero tienen diferencias clave.

El cifrado convierte datos sensibles legibles (texto plano) en texto ilegible (texto cifrado). El propósito del cifrado es hacer que los datos sensibles sean ilegibles para personas no autorizadas. Solo los usuarios autorizados con la clave de descifrado deberían poder convertir el texto cifrado nuevamente a su forma legible. Dado que el cifrado requiere el uso y la gestión de claves, las organizaciones necesitan establecer sólidos procesos de gestión de claves. Sin ellos, las claves de descifrado podrían caer en manos de personas que no deberían tener acceso a datos sensibles.

La gestión de claves presenta retos en cuanto a mantener los datos cifrados seguros. Usar tokenización-como-servicio no requiere gestión de claves de cifrado en absoluto.

La tokenización reemplaza datos sensibles con tokens únicos y no sensibles, lo que reduce el riesgo de que un atacante acceda a los datos sensibles reales. Los tokens pueden ser almacenados, procesados y transmitidos sin exponer ninguna información sensible. En caso de una brecha de datos, por ejemplo, no se encontrarían datos sensibles siendo procesados, almacenados o transmitidos — solo se encontrarían tokens no reversibles.

¿Cuál es el formato de un token PCI?

Los tokens pueden variar en formato y pueden ser generados usando diferentes métodos según el proveedor de tokenización.

Un token que reemplaza un número de cuenta principal (PAN) probablemente siga una estructura similar o puede estar compuesto solo por caracteres numéricos, caracteres alfabéticos y numéricos, o los primeros y últimos dígitos del PAN con caracteres alfabéticos y numéricos reemplazando los dígitos del medio, entre otros formatos.

Fuente: Guías de tokenización PCI DSS del PCI SSC

¿Cómo funciona la tokenización PCI?

El proceso de tokenización varía según la plataforma de tokenización, pero generalmente puede desglosarse en los siguientes pasos clave.

Para comenzar, una aplicación recoge y luego pasa los datos de titulares de tarjetas (CHD), incluido el PAN, a la plataforma de tokenización proporcionada por el proveedor de servicios de tokenización. La plataforma genera un token único correspondiente a los datos de pago originales. El proveedor de tokenización almacena los datos sensibles en una base de datos protegida y debe seguir los requisitos de PCI con respecto al almacenamiento de CHD.

El proveedor de tokenización luego envía el token de regreso a la organización que ahora puede utilizar este token de la misma manera que los datos de pago reales. Cuando la organización quiera utilizar el token, enviará el token al proveedor de tokenización y el proveedor de tokenización utilizará los datos de pago en lugar del token.

Requisitos de tokenización PCI DSS

Debido a que el sistema de tokenización almacena, procesa y/o transmite datos del titular de la tarjeta, debe cumplir con PCI DSS. La buena noticia es que entonces puede utilizar la certificación de cumplimiento del proveedor de tokenización para cumplir con muchos de los requisitos relacionados con la seguridad de los datos del titular de la tarjeta.

Algunos requisitos clave que debe cumplir el sistema de tokenización son:

• No proporcionar PAN en ninguna respuesta a ninguna aplicación, sistema, red o usuario fuera del entorno de datos del titular de la tarjeta definido por el comerciante
• Establecer todos los componentes de tokenización en redes internas seguras que estén aisladas de cualquier red no confiable y fuera del alcance
• Diseñar todos los componentes de tokenización según estándares de configuración estrictos y protegerlos de vulnerabilidades
• Permitir solo comunicaciones de confianza dentro y fuera del entorno del sistema de tokenización
• Aplicar criptografía y protocolos de seguridad fuertes para proteger los datos del titular de la tarjeta cuando se almacenan y durante la transmisión a través de redes abiertas y públicas
• Implementar controles de acceso y medidas de autenticación fuertes de acuerdo con los Requisitos 7 y 8 de PCI DSS
• Soportar un mecanismo para la eliminación segura de datos del titular de la tarjeta según lo requiera una política de retención de datos
• Implementar registro, monitoreo y alertas según sea apropiado para identificar cualquier actividad sospechosa e iniciar procedimientos de respuesta

¿Es la tokenización adecuada para ti y tu viaje de cumplimiento de PCI?

La tokenización puede ser una buena solución para ti si te encuentras en una de las siguientes categorías:

• Comerciantes que desean usar datos de tarjetas para rastrear transacciones, realizar cribado de fraudes y más, y compartir esos datos con múltiples procesadores de pagos sin realmente tocar esos datos ni hacer que lleguen a su sistema o registros.
• Proveedores de servicios que necesitan mostrar datos de tarjetas a los clientes, por ejemplo, para proporcionarles una tarjeta de uso único, y mantenerse dentro del alcance de PCI DSS.

¿Cómo Secureframe y Basis Theory pueden ayudarte a obtener y mantener el cumplimiento de PCI?

La tokenización y la automatización pueden eliminar el 90% del tiempo y esfuerzo involucrado en el cumplimiento de PCI.

Un proveedor de servicios de tokenización como Basis Theory ofrece una infraestructura completa de nivel PCI 1 con todo lo que necesitas para recopilar, asegurar y usar datos sensibles de tarjetas de manera más rápida y fácil.

Cuando se combina con la plataforma de automatización de seguridad y cumplimiento de privacidad de Secureframe, puedes simplificar aún más el proceso de cumplimiento de PCI automatizando la recopilación de evidencia de PCI, monitoreando continuamente tus controles de PCI y contando con expertos en el personal para ayudarte a delimitar tu compromiso y realizar una evaluación de preparación. Solicita una demostración hoy.