02 junio 2010

¿Puedo reducir el alcance de PCI-DSS usando tokenización?

Siguiendo con la serie de preguntas relacionadas con el estándar PCI-DSS tenemos ahora esta relativa a la tokenización que está escrita junto con mi amiga Vanesa Gil (una verdadera experta en esta materia, os lo digo yo).

Bueno, pero entrando ya en materia, lo primero a decir es que la solución de tokenización será válida y permitirá reducir el alcance al que afecta PCI-DSS (ya sabéis, sistemas que almacenan, procesan o transmiten datos de tarjetas), siempre y cuando:
  • Los sistemas que solo tengan acceso al token se encuentren segmentados del resto del entorno que trata datos de tarjetas.
  • La solución de tokenización cumpla con la totalidad de requerimientos establecidos en el estándar.
  • Se garantice el cumplimiento de PCI-DSS en relación con los siguientes aspectos:
    • Algoritmo de creación del token.
    • Algoritmo de cifrado del PAN en la tabla/fichero donde se encuentra la asociación entre el PAN y el token. 
    • Módulo para el acceso al PAN. 

En relación al algoritmo de creación del token, es necesario garantizar que no es reversible (es decir, que se trata de un algoritmo único y de sentido unidireccional).

Adicionalmente, es necesario garantizar que la base de datos en la que se almacena la asociación entre el PAN y el token cumple con lo establecido en el estándar PCI-DSS, en especial, los siguientes requerimientos:
  • Req. 2, relacionado con la configuración segura de los sistemas.
  • Reqs. 7 y 8, relativos al control de acceso lógico.
  • Req. 10, sobre la monitorización.

Para finalizar, la solución de tokenización debe además garantizar que:
  • los sistemas que reciben tokens no pueden revelar o dejar ver el PAN en claro.
  • los tokens transmitidos no permiten revelar o dejar ver el PAN en claro.
Esperamos haberos sido de ayuda, pero si aún tenéis más dudas, ya sabéis que para eso están los comentarios.

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?


No hay comentarios: