Siguiendo con la serie de preguntas relacionadas con el estándar PCI-DSS tenemos ahora esta relativa a la tokenización que está escrita junto con mi amiga Vanesa Gil (una verdadera experta en esta materia, os lo digo yo).
Bueno, pero entrando ya en materia, lo primero a decir es que la solución de tokenización será válida y permitirá reducir el alcance al que afecta PCI-DSS (ya sabéis, sistemas que almacenan, procesan o transmiten datos de tarjetas), siempre y cuando:
- Los sistemas que solo tengan acceso al token se encuentren segmentados del resto del entorno que trata datos de tarjetas.
- La solución de tokenización cumpla con la totalidad de requerimientos establecidos en el estándar.
- Se garantice el cumplimiento de PCI-DSS en relación con los siguientes aspectos:
- Algoritmo de creación del token.
- Algoritmo de cifrado del PAN en la tabla/fichero donde se encuentra la asociación entre el PAN y el token.
- Módulo para el acceso al PAN.
En relación al algoritmo de creación del token, es necesario garantizar que no es reversible (es decir, que se trata de un algoritmo único y de sentido unidireccional).
Adicionalmente, es necesario garantizar que la base de datos en la que se almacena la asociación entre el PAN y el token cumple con lo establecido en el estándar PCI-DSS, en especial, los siguientes requerimientos:
- Req. 2, relacionado con la configuración segura de los sistemas.
- Reqs. 7 y 8, relativos al control de acceso lógico.
- Req. 10, sobre la monitorización.
Para finalizar, la solución de tokenización debe además garantizar que:
- los sistemas que reciben tokens no pueden revelar o dejar ver el PAN en claro.
- los tokens transmitidos no permiten revelar o dejar ver el PAN en claro.
... ¿Todavía no me sigues en twitter.com/antonio_ramosga?
No hay comentarios:
Publicar un comentario