PCI-DSS: Esborrament segur de dades de targetes de pagament
L'Estàndard de Seguretat de Dades per a la Indústria de Targeta de Pagament (PCI-DSS) és un marc global dissenyat per assegurar les transaccions amb targetes de crèdit i protegir les dades dels titulars de targetes contra robatoris i usos no autoritzats.
Requeriments d'Esborrament Segur de Dades (3.1, 3.2, 9.8.2, 10.7)
PCI-DSS requereix que totes les entitats que processen, emmagatzemen o transmeten dades de targetes implementin mesures de seguretat estrictes per protegir aquesta informació. Això inclou requisits específics per a l'esborrament segur de dades, assegurant que qualsevol dada de titular de targeta que ja no sigui necessària sigui eliminada de manera que no pugui ser recuperada.
Punt 3.1: Política de Retenció de Dades i Esborrament Segur
- Definició i Abast: Aquest punt exigeix que les entitats defineixin una política clara sobre la retenció de dades, especificant quant de temps s'han de conservar les dades de targetes i quan s'han d'esborrar. La política ha de garantir que les dades es destrueixin de manera segura un cop ja no siguin necessàries per a finalitats legals o comercials.
- Implementació: Les organitzacions han d'aplicar procediments d'esborrament que impedeixin la recuperació o reconstrucció de les dades eliminades, utilitzant mètodes aprovats per l'estàndard.
Punt 3.2: Prohibició d'Emmagatzematge de Dades Sensibles
- Definició i Abast: Prohibeix l'emmagatzematge de dades sensibles d'autenticació després de l'autorització, inclosos les dades completes de la banda magnètica, el codi de servei i el codi de seguretat de la targeta (CVV2).
- Implementació: Requereix l'eliminació segura d'aquestes dades si es troben emmagatzemades inadvertidament, assegurant que no quedin residus que puguin ser explotats.
Punt 9.8.2: Destrucció de Dades en Desús
- Definició i Abast: Se centra en la destrucció segura de mitjans de dades en desús, com discos durs, USBs i paper, que contenen dades de titulars de targetes.
- Implementació: Les entitats han d'emprar mètodes de destrucció física o electrònica que facin impossible recuperar o reconstruir la informació.
Punt 10.7: Manteniment d'Historials d'Auditoria
- Definició i Abast: Aquest punt exigeix la conservació d'historials d'auditoria per un mínim d'un any, amb els tres últims mesos fàcilment accessibles.
- Implementació: Inclou assegurar que les accions d'esborrament segur de dades siguin degudament registrades i documentades dins dels sistemes d'auditoria, proporcionant evidència del compliment de les pràctiques de seguretat de dades.
Verificació i Documentació
És crucial documentar totes les accions i procediments d'esborrament segur, incloent-hi la metodologia utilitzada i la confirmació que les dades han estat efectivament eliminades. Aquesta documentació ha d'estar disponible per a auditories de compliment PCI-DSS.
Compliment i Auditoria
Adherir-se als requeriments d'esborrament segur de PCI-DSS no només és fonamental per protegir la informació sensible dels titulars de targetes, sinó també per evitar sancions i garantir la continuïtat en el processament de pagaments. Les auditories regulars i les proves de penetració ajuden a verificar el compliment efectiu d'aquestes pràctiques.
