La proteção de dados del titular de la cartão es el núcleo del PCI DSS. El estándar nace precisamente para definir como devem protegerse los dados del titular a lo largo de todo su ciclo de vida: recopilação, transmisión, armazenamento e eliminação. Saber exactamente qué dados entran en el perímetro, cuáles podem conservarse e con qué requisitos, es el primer paso para construir un programa de conformidade sostenible.
Qué são los cardholder data: PAN, CVV e dados de autenticação sensíveis
El PCI DSS distingue entre cardholder data e sensitive authentication data (SAD). Los cardholder data incluyen el PAN (Primary Account Number), el nombre del titular, la fecha de validade e el código de serviço. Estos dados podem almacenarse sempre que estén protegidos con encriptação fuerte, truncamiento, hashing o tokenização, e que su conservação esté justificada por un requisito de negocio documentado.
Los sensitive authentication data são una categoría distinta con requisitos mucho mais restrictivos: el CVV/CVC (el código de tres o cuatro dígitos en el reverso de la cartão), los dados completos de la banda magnética, los dados del chip EMV e los PIN. Estos dados nunca podem almacenarse después de completarse la autorização, independientemente de la forma en que se encuentren, cifrados o no. La violação de esta regla es una de las causas mais frecuentes de incidentes de segurança en pagos.
Obrigações PCI DSS para quienes almacenan dados del titular
Quien decide armazenar cardholder data entra automáticamente en el perímetro del ambiente de dados de titulares de cartão e deve cumprir todos los requisitos del Objetivo 3 del PCI DSS: política de retenção documentada, encriptação de los PAN en reposo con algoritmos aprobados (AES-256 es el estándar), gestão segura de claves criptográficas e procedimientos de eliminação segura quando los dados dejen de ser necesarios. El PAN nunca deve conservarse en texto claro en logs del sistema, archivos temporales, volcados de base de dados u otros repositorios no protegidos.
El armazenamento encriptação de cartões no es suficiente por sí apenas: el encriptação es eficaz apenas si la gestão de claves es igualmente segura. El estándar exige separação de roles entre quien gere los dados e quien gere las claves, rotação periódica de claves, procedimientos de custodia de claves e rastros de auditoría completos de cada operação criptográfica. Construir e manter este sistema internamente tem custos significativos tanto técnicos como organizativos.
Como la tokenização elimina el problema de raíz
La tokenização resolve el problema de forma estructural: si el PAN nunca se armazena en tu infraestrutura, no existe perímetro que proteger para ese componente. El token devuelto por PCI Proxy EU es una referência opaca sin valor criptográfico derivable del PAN real. Los sistemas que apenas ven tokens no entran en el CDE para la parte de armazenamento de dados e podem gestionarse con los controles de segurança IT habituales.
Esto no significa que la tokenização elimine todas las obrigações PCI: los sistemas que envían el PAN al vault antes de la tokenização, los que reciben el PAN para la autorização e los componentes de control de accesos al vault permanecen en scope. Pero la superficie total se reduz drásticamente, los requisitos aplicables são menos onerosos e el camino hacia el conformidade se vuelve manejable incluso para organizaciones sin un equipa de segurança dedicado.
Preguntas frecuentes
Se pode armazenar el CVV después de una compra?
No, nunca. El CVV (y cualquier dato SAD) no pode almacenarse tras completarse la autorização. Esta es una de las pocas reglas del PCI DSS sin excepciones: no existen medidas compensatorias que permitan conservar el CVV en forma cifrada. Si se encontra en backups o logs, constituye una infracção inmediata. La única solução es no recopilarlo de forma persistente.
El nombre del titular se considera dato sensible PCI?
El nombre del titular entra dentro de los cardholder data mas no de los sensitive authentication data. Pode almacenarse, mas apenas si está asociado a un PAN protegido e con las medidas de segurança adecuadas. Si se armazena de forma autónoma, sin el PAN asociado, su impacto en el conformidade es muito reducido. En cualquier caso, no es buena práctica conservarlo mais allá de lo necesario para finalidades de negocio documentadas.
Qué debo fazer si encuentro PAN en mis backups?
Encontrar PAN en texto claro en los backups es un incidente de segurança que exige respuesta inmediata. Los pasos são: aislar los backups afectados, notificar al adquirente e al responsable de segurança, llevar a cabo una evaluação del riesgo de exposição e proceder a la eliminação segura. Si los dados han estado potencialmente expuestos, pode activarse la obligação de notificação a los esquemas y, en Europa, a la Autoridade de Proteção de Dados. Mejor prevenir con una auditoría periódica de PAN en los sistemas.
Cero cardholder data en tu ambiente: la solução mais sencilla es no almacenarlos. Descubre PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nosNa prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para pci dss.