25 mayo 2010

¿Cómo aplica PCI-DSS a las grabaciones de voz de los Call Centers?

Esta es otra duda recurrente en relación al cumplimiento del estándar PCI-DSS que vamos a tratar de enfocar / solucionar. Concretamente, la duda surge porque en este entorno los datos de los titulares de tarjeta son grabaciones de voz y no el típico dato en un fichero o base de datos. Dicha situación hace que sea necesario interpretar los requerimientos del estándar y adaptarlos a las especificidades de este entorno.

La primera duda que nos podría surgir sería la de si  las grabaciones de voz estarían dentro del alcance del estándar. La respuesta es sencilla, sí, las grabaciones de voz forman parte del denominado CDE - Cardholder Data Environment siempre que se produzca, como mínimo, el almacenamiento del PAN. Otra cosa es que, como ya hemos dicho, no sea un almacenamiento típico y requiera de la interpretación del estándar para su aplicación.

Evidentemente, la siguiente duda sería que "si las grabaciones de voz están dentro del alcance, ¿cómo protejo los datos de los titulares?". Pues bien, aquí es donde tenemos que hacer el esfuerzo de interpretación. Básicamente, podemos encontrarnos con dos casuísticas en las grabaciones de voz: analógicas vs. digitales.

  • En el primer caso (grabaciones de voz analógicas), las medidas a establecer serían muy similares a las que aplicaríamos al almacenamiento en papel, es decir, controles de acceso físico y lógico a los soportes.
  • En el segundo caso (grabaciones de voz digitales), la cosa se complica porque además de almacenarse la información en ficheros .mp3, .wav o el que sea, las herramientas que se utilizan en estos casos permite realizar búsquedas en dichos ficheros y recuperar información de manera ágil. En estos casos, las medidas son más amplias y, por ejemplo, deberemos aplicar el requerimiento 3.4 y hacer que el "PAN quede, como mínimo, ilegible en cualquier lugar donde se almacene".

Y, finalmente, la madre del cordero: "Pero, si durante el transcurso de la llamada, el cliente me da un dato sensible de autenticación, ¿tengo que eliminarlo o lo puedo archivar?" Para responder a esta pregunta, lo mejor es remitirnos al Council, concretamente a la sección de las FAQ donde encontramos justo esa pregunta: "Are audio/voice recordings containing cardholder data and/or sensitive authentication data included in the scope of the PCI DSS? (5362)". Básicamente lo que nos viene a decir es que:
  1. Aplicando el requerimiento 3.2 no se pueden almacenar los datos sensibles de autenticación (ya sabéis, CAV2/CVC2/CVV2/CID) después de la autorización (ni cifrados) y que, por tanto, no se pueden almacenar esta información en ningún tipo de fichero de audito digital si el sistema permite la realización de búsquedas. 
  2. Para los casos en los que no se puedan realizar búsquedas, entonces volvemos a lo comentado anteriormente y permiten su almacenamiento con las medidas de control de acceso lógico y físico correspondientes requeridas por el estándar.

En fin, aunque es un poco lioso espero haber sido de ayuda... [y si quedan dudas, ya sabéis, para eso están los comentarios ;-) ]

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

No hay comentarios: