Procedimiento de Transmisión de Datos de Tarjeta
👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
PCI DSS v3.2.1: 4.3
PCI DSS v4.0: 4.1.1, 4.1.2, 4.2.1, 4.2.1.1
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a definir los pasos necesarios para realizar transferencias de información sensible y datos de tarjeta por medio de redes, de manera segura y siguiendo las mejores prácticas.
💡 Es muy importante restringir las transferencias de información a las mínimas indispensables, y asegurar que se realicen de manera correcta, poniendo como prioridad la protección de los datos y describiendo los canales que se utilizarán. Recuerda que el PAN (Primary Account Number, por sus siglas en inglés) es el número de cuenta principal que corresponde a los 16 dígitos de la tarjeta.
¿Qué tengo que hacer? 🚀
Para lograr esta actividad debes documentar cómo transfieres los datos de tarjeta, cuáles son los medios por los que tienen permitido hacerlo y cómo regulas la seguridad de estas transferencias. Además, considera una asignación adecuada de los responsables a cargo, la comprensión de los casos donde se requiere transferir información, las autorizaciones pertinentes y todos los elementos involucrados.
Ahora bien, para definir este procedimiento te recomendamos considerar por lo menos las siguientes tareas:
Identifica todas las ubicaciones donde se transmitan o reciban datos del titular de la tarjeta en redes públicas abiertas, puedes apoyarte del diagrama de flujo de datos de tu entorno PCI DSS. Algunos ejemplos de redes públicas abiertas que se deben considerar son:
Internet
Tecnologías inalámbricas
Comunicaciones satelitales, entre otros.
Estas ubicaciones deben estar protegidas adecuadamente mediante protocolos de seguridad y criptografía.
Si se requieren realizar nuevas conexiones para realizar la transferencia, éstas se deberían requerir por medio de una solicitud formal, la cuál posteriormente debe ser revisada y autorizada por un responsable a cargo.
Esto te ayudará a tener un mejor control y seguimiento de las transferencias que has realizado.
Para la autorización de solicitudes será importante contar con criterios de aceptación establecidos contra los cuales se evaluará la solicitud.
💡 Para levantar una solicitud, te sugerimos pedir, por lo menos la siguiente información:
Nombre del usuario solicitante.
Información del nuevo medio de conexión para transferir información.
Dueño o propietario de dicha información.
Justificación de la necesidad para hacer la transferencia.
Debes comunicar al responsable de efectuar la transferencia, las medidas de seguridad que debe aplicar, y asegurar que esté lo suficientemente capacitado y concientizado para llevarlas a cabo. Así como también, debes comunicar a todos los involucrados e interesados cuando la transmisión de datos se haya ejecutado exitosamente.
Durante la transmisión de información, debes implementar fuertes protocolos de seguridad y criptografía para proteger los datos PAN, considerando por lo menos los siguientes aspectos:
Solo se aceptan claves y certificados confiables.
Los certificados utilizados para proteger los datos PAN durante la transmisión a través de redes públicas abiertas se confirman como válidos y no están vencidos ni revocados.
El protocolo en uso sólo admite versiones o configuraciones seguras, y no admite el apoyo ni el uso de versiones, algoritmos, tamaños de clave o implementaciones inseguras.
La fuerza del cifrado es apropiada para la metodología de cifrado en uso.
Debes mantener un inventario de las claves y certificados confiables utilizados.
Si se presenta algún problema durante la transmisión de datos de tarjeta (el cual recuerda que debe ser un archivo cifrado), debes analizar el tipo de error, anomalía o inconveniente presentado y, según sea el caso, seguir el Procedimiento de Gestión de Vulnerabilidades, o e el Procedimiento de Gestión de Incidentes de Seguridad, si fuera necesario realizar un reporte.
Además, te recomendamos considerar las regulaciones o leyes aplicables a tu empresa, ya que existen algunas para la protección de datos personales, que nos obligan a ser muy cuidadosos al momento de transferir información ✅.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Asigna a los responsables más apropiados para llevar a cabo cada una de las tareas involucradas en el procedimiento.
Mantén un registro de las transferencias realizadas, ya que esto puede ser de gran importancia para alguna auditoría, o para seguimientos internos de la empresa porque te permite tener la trazabilidad adecuada de la información.
Revisa periódicamente este documento, y actualízalo siempre que sea necesario y/o cuando haya cambios significativos.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.