La protección de datos del titular de la tarjeta es el núcleo del PCI DSS. El estándar nace precisamente para definir cómo deben protegerse los datos del titular a lo largo de todo su ciclo de vida: recopilación, transmisión, almacenamiento y eliminación. Saber exactamente qué datos entran en el perímetro, cuáles pueden conservarse y con qué requisitos, es el primer paso para construir un programa de cumplimiento sostenible.
Qué son los cardholder data: PAN, CVV y datos de autenticación sensibles
El PCI DSS distingue entre cardholder data y sensitive authentication data (SAD). Los cardholder data incluyen el PAN (Primary Account Number), el nombre del titular, la fecha de caducidad y el código de servicio. Estos datos pueden almacenarse siempre que estén protegidos con cifrado fuerte, truncamiento, hashing o tokenización, y que su conservación esté justificada por un requisito de negocio documentado.
Los sensitive authentication data son una categoría distinta con requisitos mucho más restrictivos: el CVV/CVC (el código de tres o cuatro dígitos en el reverso de la tarjeta), los datos completos de la banda magnética, los datos del chip EMV y los PIN. Estos datos nunca pueden almacenarse después de completarse la autorización, independientemente de la forma en que se encuentren, cifrados o no. La violación de esta regla es una de las causas más frecuentes de incidentes de seguridad en pagos.
Obligaciones PCI DSS para quienes almacenan datos del titular
Quien decide almacenar cardholder data entra automáticamente en el perímetro del cardholder data environment y debe cumplir todos los requisitos del Objetivo 3 del PCI DSS: política de retención documentada, cifrado de los PAN en reposo con algoritmos aprobados (AES-256 es el estándar), gestión segura de claves criptográficas y procedimientos de eliminación segura cuando los datos dejen de ser necesarios. El PAN nunca debe conservarse en texto claro en logs del sistema, archivos temporales, volcados de base de datos u otros repositorios no protegidos.
El almacenamiento cifrado de tarjetas no es suficiente por sí solo: el cifrado es eficaz solo si la gestión de claves es igualmente segura. El estándar exige separación de roles entre quien gestiona los datos y quien gestiona las claves, rotación periódica de claves, procedimientos de custodia de claves y rastros de auditoría completos de cada operación criptográfica. Construir y mantener este sistema internamente tiene costes significativos tanto técnicos como organizativos.
Cómo la tokenización elimina el problema de raíz
La tokenización resuelve el problema de forma estructural: si el PAN nunca se almacena en tu infraestructura, no existe perímetro que proteger para ese componente. El token devuelto por PCI Proxy EU es una referencia opaca sin valor criptográfico derivable del PAN real. Los sistemas que solo ven tokens no entran en el CDE para la parte de almacenamiento de datos y pueden gestionarse con los controles de seguridad IT habituales.
Esto no significa que la tokenización elimine todas las obligaciones PCI: los sistemas que envían el PAN al vault antes de la tokenización, los que reciben el PAN para la autorización y los componentes de control de accesos al vault permanecen en scope. Pero la superficie total se reduce drásticamente, los requisitos aplicables son menos onerosos y el camino hacia el cumplimiento se vuelve manejable incluso para organizaciones sin un equipo de seguridad dedicado.
Preguntas frecuentes
¿Se puede almacenar el CVV después de una compra?
No, nunca. El CVV (y cualquier dato SAD) no puede almacenarse tras completarse la autorización. Esta es una de las pocas reglas del PCI DSS sin excepciones: no existen medidas compensatorias que permitan conservar el CVV en forma cifrada. Si se encuentra en backups o logs, constituye una infracción inmediata. La única solución es no recopilarlo de forma persistente.
¿El nombre del titular se considera dato sensible PCI?
El nombre del titular entra dentro de los cardholder data pero no de los sensitive authentication data. Puede almacenarse, pero solo si está asociado a un PAN protegido y con las medidas de seguridad adecuadas. Si se almacena de forma autónoma, sin el PAN asociado, su impacto en el cumplimiento es muy reducido. En cualquier caso, no es buena práctica conservarlo más allá de lo necesario para finalidades de negocio documentadas.
¿Qué debo hacer si encuentro PAN en mis backups?
Encontrar PAN en texto claro en los backups es un incidente de seguridad que requiere respuesta inmediata. Los pasos son: aislar los backups afectados, notificar al adquirente y al responsable de seguridad, llevar a cabo una evaluación del riesgo de exposición y proceder a la eliminación segura. Si los datos han estado potencialmente expuestos, puede activarse la obligación de notificación a los esquemas y, en Europa, a la Autoridad de Protección de Datos. Mejor prevenir con una auditoría periódica de PAN en los sistemas.
Cero cardholder data en tu entorno: la solución más sencilla es no almacenarlos. Descubre PCI Proxy EU.