Para aquellos que procesan datos de tarjetas de crédito, tienen un callcenter y guardan el audio de las transacciones realizadas. Se habían ya preguntado que ocurre con esta información respecto al PCI-DSS.
Bueno, la pregunta es muy buena ya que para el PCI-DSS aun en audio se esta transportando la información o datos del titular de la tarjeta (Numero de cuenta principal -PAN-, Nombre del Titular de la tarjeta, Código de servicio y Fecha de vencimiento) lo que significa encripción en el caso de VoIP, Medidas de seguridad fuertes en el caso de la Central Telefónica, Almacenamiento de bitácoras, etc.
Pero lo más interesante viene cuando estas conversaciones se almacenan, ya que almacenadas son fuente de información que un atacante puede estar buscando.
Por que? esto esto aplica respecto a la norma
Bueno la mayoría de conversaciones telefónicas en el callcenter de los comercios, de los bancos y proveedores del servicio en los que se necesita completar una conversión incluirán Numero de cuenta principal -PAN-, Nombre del Titular de la tarjeta, Fecha de vencimiento y en muchos casos un dato aun más sensible el código de seguridad (CVV/CVV2/CVC2/CID) de la tarjeta de crédito.
Ahora pensemos el problema que se puede causar en una organización que ha gastado miles de dolares en encripción de bases de datos, IPSs, Firewalls, etc y descuido el servidor o sistema en el que se almacena esta información de audio.
Con esto quiero decir, que el audio grabado, de las transacciones de un call center, debe:
a. Ser almacenado en un servidor que pertenezca al ATC (Ambiente de Tarjetas de Crédito), lo que significa que estará en un área de seguridad mas firme ya que el ATC debería estar protegido por una serie de elementos de infraestructura de seguridad como IPSs, Firewalls, Monitores de Bitácoras, etc.
b. El audio debe estar almacenado en forma encriptada, de tal forma que si un atacante sustrae los archivos le van a ser inútiles para su propósito.
c. En lo posible el sistema debería poder detectar en el audio si se trata del PAN o código de seguridad de tal forma que se elimine usando ruido o silencio (Siendo esto lo mas difícil de alcanzar).
La idea básica es que aun siendo audio, esta información entra dentro del alcance, siendo así aplica la norma completamente a al sistema.