👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
PCI DSS v3.2.1: 3.1, 3.3, 3.7, 4.2.b, 9.6 y 9.8
PCI DSS v4.0: 3.1.1, 3.1.2, 3.2.1, 3.3.1, 3.3.1.1, 3.3.1.2, 3.3.1.3, 3.3.2, 3.3.3, 3.4.1, 3.4.2, 3.5.1, 3.5.1.1, 3.5.1.2, 3.5.1.3, 3.7.1, 3.7.2, 3.7.3, 3.7.4, 3.7.5, 3.7.6, 3.7.7, 3.7.9, 4.1.1, 4.1.2, 4.2.1, 4.2.1.1, 4.2.2, 9.4.1, 9.4.1.1, 9.4.1.2, 9.4.2, 9.4.3, 9.4.4, 9.4.5.1, 9.4.6, 9.4.7
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a establecer los lineamientos necesarios para implementar un tratamiento correcto de los datos de tarjeta, de manera que al trabajar y hacer uso de ellos, se preserve su confidencialidad, integridad y disponibilidad.
¿Qué tengo que hacer? 🚀
Para lograr esta actividad, es importante conocer las fases o etapas del tratamiento de la información que se deben considerar:
La recolección, es decir cómo consigues o recabas los datos del titular de tarjeta.
El almacenamiento, donde los aspectos más importantes a definir son cómo se almacenan los datos de tarjeta y por cuánto tiempo, pero además se debe considerar el repositorio, la necesidad del almacenamiento, etcétera.
La transmisión, que corresponde a comunicar o compartir datos de tarjeta, los cuales deben ser protegidos adecuadamente.
La eliminación, una vez que los datos ya no son necesarios para las operaciones de la empresa, y para dar cumplimiento a las regulaciones aplicables.
💡 Si trabajas con proveedores que manejan o utilizan de alguna manera los datos de tarjeta involucrados en tus operaciones, deberás asegurarte que ellos también cumplan los lineamientos que establezcas en esta política.
Ahora bien, para documentar tu política debes definir qué medidas de seguridad aplicar para cada una de estas etapas. Y para ello, te recomendamos considerar los siguientes aspectos:
Para recolectar la información es recomendable contar con acuerdos contractuales y/o de confidencialidad que definan las responsabilidades de seguridad de cada una de las partes involucradas.
Lo más importante es que te asegures de comunicar a tus clientes los datos que estás recabando y cómo los estás protegiendo.
El almacenamiento o conservación de datos de tarjeta es una de las etapas que requieren más protección, y que deben cumplir todos los requisitos de PCI DSS asociados, para estar en cumplimiento.
Lo primero a tener en cuenta es que el almacenamiento debe estar justificado por una necesidad de negocio válida, y almacenar los datos mínimos necesarios.
De ser posible, debes almacenar los datos en instancias separadas con controles de acceso para la lectura y la protección contra consultas no autorizadas.
Además, debes cifrar los archivos al momento de ser almacenados, y definir un periodo de retención de la información que cumpla con los requisitos de PCI DSS y las regulaciones locales aplicables.
La transmisión de datos de tarjeta debe contar con las medidas de seguridad pertinentes para asegurar la protección de los datos en todo momento, como por ejemplo:
Utilizando medios de comunicación y canales seguros.
Utilizando métodos de autenticación para garantizar que el receptor sea quién dice ser.
Utilizando protocolos de cifrado para que solamente las personas autorizadas puedan leer la información.
Utilizando controles de accesos para evitar lecturas o modificaciones no autorizadas, etcétera.
💡 Es muy importante considerar también lineamientos de seguridad que te permitan controlar la transmisión y tratamiento de información por medios extraíbles, como por ejemplo memorias USB o discos duros.
Los métodos de eliminación y/o destrucción de información deben ser adecuados, eficientes y seguros.
Es importante que, una vez pasado el tiempo de conservación autorizado de la información, ésta sea eliminada o destruida, según lo que se requiera, utilizando métodos seguros, como por ejemplo el formateo de disco duro, la destrucción del equipo o medio impreso en el que se encuentre, la desmagnetización de los soportes de almacenamiento, sobre-escritura, entre otros.
Estos métodos deben evitar que los datos de la tarjeta puedan ser reconstruidos o recuperados.
Apóyate de tu Procedimiento de Eliminación de Información.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu política fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Recuerda que no debes almacenar información sensible de datos de tarjeta como lo es el CVV, Track, etcétera.
Considera todos los componentes que almacenen, procesen y transmitan datos de tarjeta para asegurar que los lineamientos de esta política sean lo más adecuados y abarquen todos los escenarios.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.