La información del titular de la tarjeta o la información asociada con una tarjeta de crédito o débito específica es extremadamente valiosa para los actores criminales, ya que pueden utilizarla para cometer fraude y robo.
De hecho, el fraude con tarjetas de crédito fue el tipo más común de robo de identidad de 2017 a 2019 y nuevamente en la primera mitad de 2022.
PCI DSS ha establecido nuevos estándares para la protección de datos de pago para prevenir estas actividades ilegales. Para cumplir con estos, los comerciantes y proveedores de servicios deben comprender qué se considera información del titular de la tarjeta y cómo pueden proteger estos datos según PCI DSS.
Comerciantes PCI vs. Proveedores de servicios
Antes de determinar su nivel de PCI DSS, debe identificar en qué categoría se encuentra su empresa: comerciante o proveedor de servicios.
Los comerciantes son empresas que aceptan pagos con tarjeta de cualquiera de los cinco miembros del Consejo de Normas de Seguridad PCI (American Express, Discover, JCB, MasterCard o Visa).
Si bien los proveedores de servicios no son marcas de pago con tarjeta, pueden estar directamente involucrados en el procesamiento, almacenamiento y transmisión de datos del titular de la tarjeta en nombre de un comerciante y afectar la seguridad de los datos del titular de la tarjeta de sus clientes.
Los proveedores de servicios también incluyen empresas que ofrecen servicios que pueden afectar la seguridad de los datos del titular de la tarjeta. Ejemplos de proveedores de servicios incluyen proveedores de servicios gestionados que ofrecen firewalls gestionados y proveedores de alojamiento.
Los proveedores de tarjetas agrupan a comerciantes y proveedores de servicios en diferentes niveles de informes según la cantidad de transacciones procesadas en un año. Echemos un vistazo a los niveles de cada grupo a continuación.
Información del titular de la tarjeta según PCI DSS
Según PCI DSS, la información del titular de la tarjeta se define como el número de cuenta principal (PAN) completo. La siguiente información: nombre del titular de la tarjeta, fecha de vencimiento y código de servicio, también se considera información del titular de la tarjeta si se gestiona junto con el PAN completo.
Según Requisito 3 de PCI DSS, las organizaciones pueden almacenar números de cuenta principal completos, nombres de titulares de tarjetas, fechas de vencimiento y códigos de servicio. Sin embargo, las organizaciones no pueden almacenar datos de autenticación sensibles después de la autorización a menos que esa organización sea un emisor.
Datos de autenticación sensibles
Según PCI DSS, los datos confidenciales de autenticación son información relacionada con la seguridad que se utiliza para autenticar a los titulares de tarjetas y/o autorizar transacciones con tarjetas de pago. Ejemplos incluyen códigos/valores de validación de tarjetas como datos CVV2 y CVC2, datos completos de la banda magnética o su equivalente en un chip, números de identificación personal (PIN) y bloques PIN.
Estos elementos de datos adicionales pueden ser transmitidos o procesados como parte de una transacción de pago, pero no deben ser almacenados después de la autorización según PCI DSS, a menos que usted sea un emisor.