Ir al contenido principal

16. Política de Gestión de Claves Criptográficas

👉 Esta actividad te ayuda a cumplir los siguientes requisitos:

  • PCI DSS v3.2.1: 3.5, 3.6

  • PCI DSS v4.0: 3.6.1, 3.6.1.1, 3.6.1.2, 3.6.1.3, 3.6.1.4, 3.7.1, 3.7.2, 3.7.3, 3.7.4, 3.7.5, 3.7.6, 3.7.7, 3.7.9

¿Para qué me sirve esta actividad? 📚

Esta actividad te ayudará a establecer los lineamientos necesarios para gestionar las claves criptográficas utilizadas en el entorno de datos de tarjetahabientes para evitar su acceso y lectura no autorizadas.

💡 El objetivo de este documento es que la empresa establezca los protocolos de seguridad y criptografía sólida que utilizará para proteger los datos del titular de tarjeta durante su almacenamiento y transmisión.

¿Qué tengo que hacer? 🚀

Para lograr esta actividad, primero recomendamos identificar todo el ciclo de vida que conllevan las claves criptográficas dentro de tu organización. Dentro de nuestro template te sugerimos considerar las siguientes tareas:

  • Solicitud

  • Renovación

  • Revocación

  • Destrucción

  • Custodia

  • Recuperación

Ahora bien, para crear este documento debes determinar los mecanismos criptográficos para la protección de los datos almacenados del tarjetahabiente utilizados por tu organización, los esquemas de cifrado y algoritmos utilizados, y todos los lineamientos de seguridad pertinentes de cada una de las tareas dentro del ciclo de vida de las claves.

Las solicitudes para la generación de nuevas claves deben realizarse en un formato adecuado, proporcionando una justificación de necesidad válida, y a través de un medio de comunicación formal dentro de la empresa.

💡 Para cumplimiento de PCI DSS, los responsables de solicitar nuevas claves son aquellos que firmaron y aceptaron sus funciones en un Acta de Custodios.

Las claves criptográficas deben tener un periodo de vigencia, y por ende, se deben establecer los lineamientos de seguridad pertinentes para garantizar su renovación en el momento adecuado, y que la falta de ellas no interfiera en las funciones donde se requieren.

En caso de identificar un mal uso de las claves será necesario levantar un reporte siguiendo el Procedimiento de Gestión de Incidentes de Seguridad, y aplicar los lineamientos pertinentes para realizar la revocación de las mismas.

Una vez que las claves criptográficas ya no sean necesarias, debe realizarse su eliminación y/o o destrucción, junto con todas sus copias, utilizando un método de borrado seguro que no permita su recuperación.

La custodia de las claves debe realizarse por los colaboradores asignados que aceptaron sus responsabilidades dentro del Acta de Custodios, de manera que ninguna otra persona no autorizada las conozca. Además, se deben considerar lineamientos para saber cómo lograr la recuperación de información cifrada, en caso de pérdida, robo o daño de las claves.

Algunos ejemplos de los lineamientos que te recomendamos establecer dentro de esta política son los siguientes:

  • El acceso a las claves está restringido solo al menor número de custodios necesarios.

  • Las claves de cifrado de claves, se almacenan por separado de las claves de cifrado de datos.

  • Las claves se almacenan de forma segura en el menor número posible de formas y ubicaciones.

  • Se mantiene una descripción documentada de la arquitectura criptográfica que incluye:

    • Detalles de todos los algoritmos, protocolos y claves utilizados para la protección de los datos de la cuenta almacenados, incluyendo la fuerza de la clave y la fecha de caducidad.

    • Evitar el uso de las mismas claves criptográficas en entornos de producción y de prueba, entre otras cosas.

Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu política fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Recuerda que no debes almacenar información sensible de datos de tarjeta como lo es el CVV, Track, etcétera.

  • Considera todos los componentes que almacenen, procesen y transmitan datos de tarjeta para asegurar que los lineamientos de esta política sean lo más adecuados y abarquen todos los escenarios.

  • Asegúrate de alinear tu Procedimiento de Gestión de Claves Criptográficas para el cumplimiento de esta política, y a los lineamientos definidos en la Política de Tratamiento de la Información.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
15. Política de Tratamiento de la Información
17. Procedimiento de Gestión de Claves Criptográficas
14. Acta de Custodios
55. Política de Relación con Proveedores
19. Puntos de revisión para Requisito 3
¿Ha quedado contestada tu pregunta?