El PCI-DSS dentro de sus varios puntos a cumplir exige que se realice la encripción de datos de Tarjetas de Crédito específicamente refiriéndose a datos del titular de la tarjeta (Numero principal de la tarjeta de crédito “PAN “, Nombre del titular, Código de servicio y fecha de caducidad – Los últimos tres solo si se encuentran almacenados junto al PAN).
El requerimiento 3.4 de la norma dice:
Haga que el PAN quede, como mínimo, ilegible en cualquier lugar donde se almacene (incluidos los datos que se almacenen en medios digitales portátiles y en registros) utilizando cualquiera de los siguientes métodos:
Valores hash de una vía en criptografía sólida
- Truncamiento.
- Token y ensambladores de índices (los ensambladores se deben almacenar de manera segura).
- Criptografía Sólida con procesos y procedimientos de gestión de claves relacionadas
Nota: La información de cuenta de tarjeta de crédito MÍNIMA que se debe dejar ilegible es el PAN (Numero principal de la Tarjeta de Crédito).
Aquí hay que hacer algunas aclaraciones, primero este punto contempla el hecho de no poder ser ejecutado, por lo que se pueden tomar medidas compensatorias de las que luego hablaremos. Y segundo cuando se habla de criptografía, la norma espera que sea “criptografía solida”.