logo

PCI-DSS (Payment Card Industry Data Security Standard)

PCI-DSS (Payment Card Industry Data Security Standard)

El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI-DSS) es un marco global diseñado para asegurar las transacciones con tarjetas de crédito y proteger los datos de los titulares de tarjetas contra robos y usos no autorizados.

Requerimientos de Borrado Seguro de Datos(3.1,3.2,9.9.2,10.7)

PCI-DSS requiere que todas las entidades que procesan, almacenan o transmiten datos de tarjetas implementen medidas de seguridad estrictas para proteger esta información. Esto incluye requisitos específicos para el borrado seguro de datos, asegurando que cualquier dato de tarjetahabiente que ya no sea necesario sea eliminado de forma que no pueda ser recuperado.

Punto 3.1: Política de Retención de Datos y Borrado Seguro

  • Definición y Alcance: Este punto exige que las entidades definan una política clara sobre la retención de datos, especificando cuánto tiempo deben conservarse los datos de tarjetas y cuándo deben ser borrados. La política debe garantizar que los datos se destruyan de manera segura una vez que ya no sean necesarios para fines legales o comerciales.
  • Implementación: Las organizaciones deben aplicar procedimientos de borrado que impidan la recuperación o reconstrucción de los datos eliminados, utilizando métodos aprobados por el estándar.

Punto 3.2: Prohibición de Almacenamiento de Datos Sensibles

  • Definición y Alcance: Prohíbe el almacenamiento de datos sensibles de autenticación después de la autorización, incluidos los datos completos de la banda magnética, el código de servicio y el código de seguridad de la tarjeta (CVV2).
  • Implementación: Requiere la eliminación segura de estos datos si se encuentran almacenados inadvertidamente, asegurando que no queden residuos que puedan ser explotados.

Punto 9.8.2: Destrucción de Datos en Desuso

  • Definición y Alcance: Se centra en la destrucción segura de medios de datos en desuso, como discos duros, USBs y papel, que contienen datos de tarjetahabientes.
  • Implementación: Las entidades deben emplear métodos de destrucción física o electrónica que hagan imposible recuperar o reconstruir la información.

Punto 10.7: Mantenimiento de Historiales de Auditoría

  • Definición y Alcance: Este punto exige la conservación de historiales de auditoría por un mínimo de un año, con los tres últimos meses fácilmente accesibles.
  • Implementación: Incluye asegurar que las acciones de borrado seguro de datos sean debidamente registradas y documentadas dentro de los sistemas de auditoría, proporcionando evidencia del cumplimiento de las prácticas de seguridad de datos.

Verificación y Documentación

Es crucial documentar todas las acciones y procedimientos de borrado seguro, incluyendo la metodología utilizada y la confirmación de que los datos han sido efectivamente eliminados. Esta documentación debe estar disponible para auditorías de cumplimiento PCI-DSS.

Cumplimiento y Auditoría

Adherirse a los requerimientos de borrado seguro de PCI-DSS no solo es fundamental para proteger la información sensible de los titulares de tarjetas, sino también para evitar sanciones y garantizar la continuidad en el procesamiento de pagos. Las auditorías regulares y las pruebas de penetración ayudan a verificar el cumplimiento efectivo de estas prácticas.

Productos Blancco Relacionados

Otras Guías de Cumplimiento de Borrado Seguro