👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
PCI DSS v4.0: 3.2.1, 3.3.1
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a establecer el procedimiento adecuado para eliminar de forma segura los datos de tarjeta, o la información que ya no es necesaria para la organización.
💡 La eliminación de información debe aplicarse de acuerdo al tiempo que han establecido para su almacenamiento. Es decir que si definen que los datos de tarjeta se van almacenar por 9 meses, la eliminación debe realizarse justo a tiempo para que los datos no se almacenen por más de 9 meses.
¿Qué tengo que hacer? 🚀
Antes de comenzar, es muy importante mencionar que si no necesitas los datos de tarjeta dentro de tus procesos de negocio, ¡es mejor no guardarlos!
Ahora bien, en caso de que sí almacenes datos de tarjeta, te recomendamos aplicar los siguientes pasos para generar este procedimiento:
Define adecuadamente la periodicidad de revisión de todas las ubicaciones donde se almacenan, o manejan de alguna forma, datos de tarjeta.
El estándar PCI DSS establece que esta revisión debe realizarse cada 3 meses, para asegurar que no existan datos de tarjeta que hayan excedido el tiempo de almacenamiento permitido.
Es importante verificar que no se omita ninguna ubicación o sistema que transmita, transfiera o almacene datos de tarjeta.
Estas revisiones pueden realizarse de forma manual, automática, o por medio de una combinación de ambas, y debes generar un reporte con los resultados obtenidos.
💡 Los comercios que no almacenen datos de tarjeta, deben revisar que el proveedor o el sistema involucrado tampoco almacene estos datos.
Establece la forma correcta en la que se debe realizar una solicitud de eliminación de información, considerando el medio de comunicación más adecuado, la información que debe contener, los responsables involucrados, etcétera, y sobre todo, los responsables de validar y autorizar que la solicitud es factible.
Analiza y selecciona el método o métodos más adecuados para ejecutar la eliminación de los datos de tarjeta, garantizando que los datos no puedan ser recuperados.
Si en el proceso de eliminación se encuentran datos incorrectos o erróneos, se debe reportar un incidente siguiendo el Procedimiento de Gestión de Incidentes de Seguridad establecido por la empresa.
💡 Estas herramientas, métodos o procesos, que también pueden ser llamados de borrado seguro, deben proporcionar la seguridad de que los datos de tarjeta se hagan irrecuperables, y que no puedan ser reconstruidos.
Existen métodos de eliminación o borrado seguro para medios físicos, como por ejemplo trituración, incineración, destrucción del equipo, o incluso usando químicos especiales.
Y para los medios electrónicos, que son un poco más comunes para las empresas de tecnología, podemos mencionar la desmagnetización, sobre-escritura, borrado criptográfico, etcétera. ¡Te recomendamos investigar un poco más sobre cada uno de ellos, y analizar cuáles son los más adecuados y aplicables para tu procedimiento!
La función de eliminación en la mayoría de los sistemas operativos no es una "eliminación segura" ya que permite recuperar los datos eliminados, por lo que, en su lugar, se debe utilizar una función de eliminación especializada, o una aplicación para que los datos sean irrecuperables 🚫.
Posterior a la eliminación de los datos de tarjeta, comunica las acciones realizadas al solicitante y a todos los interesados pertinentes, y genera un registro de ellas mediante una bitácora.
Esta bitácora funge como evidencia de las eliminaciones de información realizadas dentro de la empresa, y además te permite realizar las revisiones de monitoreo para garantizar que no existen datos de tarjeta fuera de su tiempo de almacenamiento permitido.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Planifica adecuadamente las revisiones para realizarlas trimestralmente, y así cumplir siempre con lo requerido por el estándar PCI DSS.
Asigna a los responsables más apropiados y capacitados para llevar a cabo tanto las revisiones periódicas, como las eliminaciones seguras de información.
Utiliza los métodos de eliminación o borrado seguro que consideres más convenientes, pero que cubran lo requerido por PCI DSS y las necesidades de seguridad de tu empresa.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.