¿Entran los datos de pre-autorización en el alcance de PCI DSS?

(Publicación cruzada en Carpe Diem) El asunto de los datos sensibles de autenticación antes de la autorización de la operación siempre ha sido una cuestión delicada… básicamente, porque PCI DSS establece requerimientos para estos datos post-autorización pero deja los datos pre-autorización en una nebulosa. Concretamente, el requerimiento 3.2 reza: “No almacenar los datos sensibles de autenticación […]

(Publicación cruzada en Carpe Diem)

El asunto de los datos sensibles de autenticación antes de la autorización de la operación siempre ha sido una cuestión delicada… básicamente, porque PCI DSS establece requerimientos para estos datos post-autorización pero deja los datos pre-autorización en una nebulosa. Concretamente, el requerimiento 3.2 reza: “No almacenar los datos sensibles de autenticación después de la autorización (ni cifrados)”.

Pero, efectivamente nada sobre estos datos antes de la autorización, por tanto, ¿qué hacemos con ellos? ¿Están incluidos en el alcance de PCI-DSS o no?

Pues, para solventar estas dudas, como siempre, lo mejor es recurrir a la sección de preguntas frequentes del PCI Security Standard Council, en este caso al artículo 12917, que reproducimos de manera íntegra por su interés y claridad:

Sí, PCI DSS aplica siempre que se almacenen, procesen o transmitan datos de titulares de tarjeta (CHD) y/o datos sensibles de autenticación (SAD) con independencia de que sea pre-autorización o post-autorización. No existen reglas específicas en PCI DSS sobre cuánto tiempo pueden almacenarse este tipo de datos (CHD o SAD) antes de la autorización, pero necesitan ser protegidos de acuerdo a PCI DSS. El uso de dispositivos de pago validados PTS y aplicaciones de pago validados PA-DSS pueden ayudar al cumplimiento de PCI DSS para la protección de estos datos antes de la autorización.

En relación a los SAD, el requerimiento 3.2 prohíbe el almacenamiento de los SAD DESPUÉS de la autorización, incluso cifrados. Si se permite almacenar los SAD antes de la autorización lo determinan las marcas de tarjetas de manera individual, incluyendo cualquier uso relacionado y los requisitos de protección. Adicionalmente, varias marcas de tarjetas tienen reglas muy concretas que prohíben cualquier almacenamiento de SAD y no hacen ninguna excepción. Para determinar los requisitos de las marcas de tarjetas, contacte directamente con las marcas de tarjeta directamente.”

En resumen, debemos preguntar a las marcas si se nos permite almacenar estos datos antes de la autorización y, en ese caso, qué medidas de seguridad debemos aplicarles para su protección… o como suelen decir: “Depende”.

Puedes seguirnos en twitter.com/enplusone.