Iniciar sesión 

¿Qué es el entorno de datos del titular de la tarjeta (CDE)?

Payments
Payments

Acepta pagos en línea y en persona desde cualquier parte del mundo con una solución de pagos diseñada para todo tipo de negocios: desde startups en crecimiento hasta grandes empresas internacionales.

Más información 
  1. Introducción
  2. ¿Qué papel juega el CDE en el sector de las tarjetas de pago?
  3. Componentes, requisitos y tipos de datos dentro del CDE
    1. Componentes
    2. Requisitos
    3. Tipos de datos
  4. Requisitos de la normativa PCI DSS para un CDE
  5. Cómo crear y mantener un CDE seguro
  6. Cómo manejar una violación del CDE
  7. Empezar con Stripe 

El entorno de datos del titular de la tarjeta (CDE) se refiere a los mecanismos que procesan, transmiten o almacenan la información del titular de la tarjeta dentro de una empresa. En concreto, esto incluye cualquier componente del sistema directamente implicado en el tratamiento de los datos del titular de la tarjeta, que puede consistir en software, hardware y cualesquiera otros procedimientos o políticas que afecten a la seguridad de las transacciones con tarjeta de crédito y los datos.

A continuación, trataremos lo que debes saber sobre el CDE: qué papel desempeña en los pagos, cómo funciona y cómo las empresas pueden cultivar un entorno de pago sólido, seguro y confiable.

¿Qué contiene este artículo?

  • ¿Qué papel juega el CDE en el sector de las tarjetas de pago?
  • Componentes, requisitos y tipos de datos dentro del CDE
  • Requisitos de la normativa PCI DSS para un CDE
  • Cómo crear y mantener un CDE seguro
  • Cómo manejar una violación del CDE

¿Qué papel juega el CDE en el sector de las tarjetas de pago?

El CDE es la infraestructura en la que se procesan, almacenan o transmiten los datos de las tarjetas de pago dentro de una empresa. Este entorno incluye todos los sistemas técnicos y operativos que manejan los datos de las tarjetas de pago. A continuación, se ofrece un resumen de algunas de las funciones importantes que proporciona el CDE dentro del ecosistema de pagos:

  • Protección de datos del titular de la tarjeta: Las empresas utilizan el CDE para proteger la información de pago de los clientes del acceso no autorizado y las filtraciones de datos. En 2021, hubo más de 4.100 de estas filtraciones, según un informe de Flashpoint y Risk Based Security. Disponer de un entorno dedicado permite a las empresas centrar las medidas de seguridad donde más se necesitan.

  • Cumplimiento de la normativa: Las entidades que manejan datos de titulares de tarjetas deben cumplir con la Norma de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS), y el CDE es donde dirigen los esfuerzos de cumplimiento normativo para respetar estos estándares.

  • Mitigación de riesgos: El CDE permite a las empresas identificar y reducir los riesgos para los datos de las tarjetas de pago. Dadas las posibles repercusiones de una filtración de datos, es importante protegerlos. Por ejemplo, en 2013, una importante violación de la seguridad de tarjetas de crédito en Target generó más de $290 millones en gastos acumulados y una caída en los precios de las acciones.

  • Confianza del cliente: Un CDE seguro puede generar confianza en los clientes al mostrarles que su información de pago está segura.

  • Mantenimiento de la integridad de las transacciones: El CDE garantiza que las transacciones se realicen de forma segura y precisa, lo que mantiene la integridad del proceso de pago.

  • Prevención de consecuencias legales y financieras: Las filtraciones de datos pueden dar lugar a acciones legales y a importantes pérdidas financieras. Las empresas utilizan el CDE para protegerse contra estos resultados.

Una empresa que maneja datos de tarjetas de pago sin una estrategia efectiva de CDE pone en riesgo su salud financiera y su reputación. A continuación, trataremos cómo desarrollar un plan bien pensado para minimizar los riesgos y maximizar los beneficios.

Componentes, requisitos y tipos de datos dentro del CDE

Dentro de un CDE, varios componentes interactúan para administrar la información confidencial de la tarjeta de pago. A continuación, te mostramos estos componentes, los requisitos para protegerlos y los tipos de datos que manejan:

Componentes

  • Hardware informático: Esto incluye los servidores y las estaciones de trabajo que ejecutan procesamientos de pagos. También abarca los componentes de red, como enrutadores, conmutadores y cortafuegos, que dirigen y protegen los datos a medida que se mueven a través de las redes.
  • Terminales de pago: Se trata de dispositivos físicos en los puntos de venta en los que se deslizan, insertan o apoyan las tarjetas de pago de los clientes.
  • Sistemas de almacenamiento: Esto hace referencia a las áreas donde se guardan los datos de las tarjetas de pago, ya sea como archivos digitales, bases de datos o copias de seguridad. En esta categoría se incluyen los medios extraíbles, como las unidades USB o las cintas de copia de seguridad.
  • Aplicaciones: Se trata de un software que procesa pagos, incluidos los sistemas de puntos de venta y las pasarelas de pagos en línea.
  • Controles de acceso: Estos son sistemas diseñados para autenticar la identidad de los usuarios que acceden al CDE, a través del acceso físico a áreas seguras y el acceso digital a los sistemas de datos.

Requisitos

  • Cifrado de datos: Los datos de las tarjetas de pago deben cifrarse utilizando estándares criptográficos sólidos, especialmente cuando se transmiten a través de redes abiertas o públicas.
  • Gestión de accesos: Solo las personas autorizadas deben tener acceso al CDE, y sus actividades deben ser registradas y monitoreadas.
  • Seguridad física: El acceso físico al CDE debe ser controlado y monitoreado, con puntos de entrada asegurados contra el acceso no autorizado.
  • Pruebas periódicas: Los análisis periódicos y las pruebas de penetración son necesarios para identificar y corregir las vulnerabilidades.
  • Políticas de retención y eliminación de datos: Las empresas deben contar con políticas claras que rijan durante cuánto tiempo se conservan los datos del titular de la tarjeta y procedimientos para eliminar de forma segura los datos del titular de la tarjeta cuando ya no sean necesarios.
  • Gestión de proveedores: Si terceros tienen acceso al CDE, también deben cumplir con estos requisitos de seguridad.

Tipos de datos

  • Información del titular de la tarjeta: Esta incluye el nombre del titular de la tarjeta, el número de tarjeta, la fecha de vencimiento y el código de servicio, información que suele encontrarse en el anverso de una tarjeta de pago.
  • Datos de autenticación confidenciales: Esto corresponde a elementos como el código de seguridad de la tarjeta (el valor de verificación de la tarjeta [CVV] o CVV2), los números de identificación personal (PIN) y la banda magnética o los datos del chip, que se utilizan para autenticar a los titulares de la tarjeta y autorizar transacciones.

El CDE debe ser una preocupación de alta prioridad para cualquier empresa que se ocupe de los pagos de clientes, independientemente del sector, del volumen de pagos o de otros factores de riesgo. Las empresas que comprenden los componentes de su CDE y cumplen con los requisitos de seguridad pueden proteger de forma eficaz la información del titular de la tarjeta contra filtraciones y usos indebidos.

Requisitos de la normativa PCI DSS para un CDE

La normativa PCI DSS proporciona pautas para proteger los datos de las tarjetas de pago dentro del CDE. Estos estándares integrales y detallados están diseñados para proteger los datos del titular de la tarjeta desde el momento en que se utiliza una tarjeta hasta el final del proceso de transacción y más allá. Aquí hay un desglose detallado de los requisitos clave:

  • Instalar y mantener la configuración del cortafuegos: Los cortafuegos actúan como guardianes del CDE. Deben configurarse y gestionarse correctamente para controlar el tráfico de red entrante y saliente en función de un conjunto de reglas aplicadas, lo que garantiza que se bloquee el acceso no autorizado.

  • Cambiar los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y los parámetros de seguridad: Ls sistemas a menudo vienen con contraseñas y configuraciones predeterminadas, cuya seguridad puede vulnerarse fácilmente. Las empresas deben cambiar esta configuración predeterminada a contraseñas y configuraciones únicas y complejas antes de vincular los sistemas.

  • Proteger los datos almacenados del titular de la tarjeta: Si una empresa almacena datos del titular de la tarjeta, estos deben cifrarse con los métodos aceptados. El acceso a estos datos debe basarse en la necesidad de conocerlos, con políticas estrictas de retención de datos que determinen durante cuánto tiempo se conservan los datos y procedimientos claros para su eliminación.

  • Cifrar la transmisión de los datos del titular de la tarjeta a través de redes públicas: Debido a que los datos pueden ser interceptados durante la transmisión, deben ser cifrados utilizando métodos de cifrado sólidos siempre que se envíen a través de redes de fácil acceso, como Internet.

  • Utilizar y actualizar regularmente el software antivirus: El software antivirus ayuda a proteger los sistemas de programas maliciosos. Debe usarse en todos los sistemas que son comúnmente atacados por malware, y las actualizaciones periódicas son clave.

  • Desarrollar y mantener sistemas y aplicaciones seguras: Las empresas deben proteger todos los componentes del sistema de las vulnerabilidades mediante la instalación de parches de seguridad. Cuando las empresas desarrollan aplicaciones, la seguridad debe ser una consideración primordial.

  • Proporcionar acceso a los datos del titular de la tarjeta cuando sea estrictamente necesario: Las empresas deben hacer cumplir el principio de privilegios mínimos, en el que las personas solo tienen acceso a los datos, los recursos y las funciones necesarios para realizar su trabajo.

  • Asignar una identificación única a cada persona con acceso a la computadora: Esto permite que las acciones sobre datos y sistemas clave se rastreen hasta las personas, lo que ayuda a mantener la rendición de cuentas.

  • Restringir el acceso físico a los datos del titular de la tarjeta: Las protecciones físicas deben evitar que personas no autorizadas accedan a los sistemas y al almacenamiento de datos. Esto incluye cerraduras, controles de acceso y mecanismos de monitoreo.

  • Realizar un seguimiento de todos los accesos a los recursos de la red y a los datos del titular de la tarjeta y supervisarlos: Los mecanismos de registro y la capacidad de realizar un seguimiento de las actividades de los usuarios son importantes para detectar y prevenir filtraciones y responder a ellas.

  • Probar regularmente los sistemas y procesos de seguridad: Los sistemas y procesos de seguridad deben someterse a pruebas de estrés con regularidad para garantizar que estén configurados correctamente y sean eficaces para proteger los datos del titular de la tarjeta.

  • Mantener una política que aborde la seguridad de la información: Las empresas deben establecer y mantener una política formal que aborde la tecnología, los programas de concienciación y la seguridad de la información con una estructura de gestión clara, y luego comunicar esta política a todos los empleados y contratistas.

El cumplimiento de estos requisitos ayuda a crear un entorno seguro para el manejo de los datos de los titulares de tarjetas, lo que protege a las empresas y a sus clientes de las filtraciones de datos, al tiempo que mantiene la confianza y la integridad. Al mantener el cumplimiento de la normativa PCI DSS, las empresas demuestran su compromiso con la seguridad y mantienen el objetivo más amplio de crear un entorno de pago seguro.

Cómo crear y mantener un CDE seguro

¿Qué implica construir y mantener un CDE sólido? A continuación, te presentamos un resumen del proceso:

  • Define el alcance del CDE: Identifica todos los sistemas, las personas y los procesos que almacenan, procesan o transmiten datos del titular de la tarjeta. Localiza los flujos de datos para confirmar que no se pase por alto ninguna parte del entorno.

  • Segmenta la red: Aísla el CDE de otros recursos de red para limitar el acceso. Esto reduce la cantidad de sistemas que pueden interactuar con el CDE y minimiza así los posibles vectores de ataque.

  • Protege los datos con cifrado: Utiliza un cifrado seguro para almacenar y transmitir los datos del titular de la tarjeta. El cifrado actúa como un candado y hace que los datos sean ilegibles para partes no autorizadas sin la clave correcta.

  • Controla el acceso: Asegúrate de que solo el personal autorizado tenga acceso al CDE. Esto se hace a través de una verificación de identidad adecuada, utilizando identificaciones únicas y métodos de autenticación sólidos.

  • Seguridad física: Protege las ubicaciones físicas del CDE, como las salas cerradas, las cámaras de vigilancia y los sistemas de control de acceso, contra la entrada no autorizada.

  • Realiza un mantenimiento de los sistemas de seguridad: Asegúrate de que las aplicaciones de seguridad, como cortafuegos, software antivirus y sistemas de detección de intrusos, estén actualizadas para protegerse contra nuevas amenazas.

  • Desarrolla y aplica políticas de seguridad: Redacta políticas claras que definan las expectativas de seguridad y capacita al personal en consecuencia. Incluye procedimientos para las operaciones diarias que cuenten con instrucciones detalladas sobre cómo responder a los incidentes de seguridad y cómo realizar auditorías periódicas.

  • Supervisa y registra todas las actividades: Implementa mecanismos de registro para dejar constancia de quién accedió al CDE, qué hizo y cuándo lo hizo. Revisa regularmente los registros en busca de actividades sospechosas.

  • Prueba las medidas de seguridad: Realiza pruebas periódicas, como análisis de vulnerabilidades y pruebas de penetración, para encontrar y corregir los puntos débiles de seguridad.

  • Responde a las violaciones: Crea un plan de respuesta a incidentes que describa cómo responder a una violación de seguridad. Este debe incluir estrategias de contención, planes de comunicación y medidas para prevenir incidentes adicionales.

  • Revisión y mejora periódicas: La seguridad es un proceso continuo. Para adaptarse a las nuevas amenazas, revisa y actualiza periódicamente los controles, las políticas y los procedimientos de seguridad.

  • Diligencia debida de proveedores: Si terceros tienen acceso al CDE, los examinan minuciosamente y se aseguran de que cumplan con los requisitos de seguridad.

Un CDE seguro requiere una supervisión continua, actualizaciones periódicas de las defensas y una cultura de concienciación sobre la seguridad en toda la empresa.

Cómo manejar una violación del CDE

Incluso con la planificación y el mantenimiento más cuidadosos, es casi inevitable que se produzcan violaciones. La naturaleza del fraude está cambiando constantemente, e incluso los mejores enfoques de CDE tendrán vulnerabilidades. Ninguna estrategia de CDE está completa sin un plan sólido para manejar las violaciones cuando ocurren.

  • Respuesta y contención inmediatas: Detecta la filtración de datos y contenla de inmediato. Esto significa aislar los sistemas afectados para evitar una mayor pérdida de datos. Por ejemplo, si la filtración se produce en un servidor específico, ese servidor debe desconectarse de la red.

  • Evaluar y analizar la filtración: Lleva a cabo una investigación exhaustiva para determinar el alcance de la filtración. Esto incluye identificar a qué datos se accedió, cómo se produjo la filtración y la duración de la exposición. Las herramientas y técnicas forenses pueden ayudar en este análisis.

  • Notificar a las partes pertinentes: La transparencia es clave en la gestión de una violación del CDE. La empresa debe notificar a todos los clientes afectados e informarles sobre la naturaleza de la filtración, qué información se vio comprometida y qué medidas está tomando para corregirla. Además, los requisitos legales pueden dictar que una empresa notifique a los organismos reguladores sobre la filtración.

  • Involucrar a expertos legales y de cumplimiento de la normativa: El asesor legal debe evaluar las implicaciones de la filtración y ejecutar el cumplimiento de todas las leyes y normativas relevantes. Trabajar con expertos es particularmente importante porque las leyes de filtración de datos varían según la región y la industria.

  • Mejorar las medidas de seguridad: Según los hallazgos de la investigación, la empresa debe implementar medidas de seguridad mejoradas para evitar filtraciones. Esto podría incluir la actualización del software, el fortalecimiento de los cortafuegos y la mejora de los métodos de cifrado.

  • Capacitación y concienciación de los empleados: A menudo, las filtraciones se producen debido a errores humanos. Es importante educar a los empleados sobre las prácticas recomendadas de seguridad de datos y la importancia de proteger la información de los clientes.

  • Gestión de relaciones públicas: La empresa debe comunicar abiertamente las medidas que está tomando para abordar la filtración y prevenir incidentes adicionales.

  • Seguimiento continuo: Después de abordar los efectos inmediatos de la filtración, las empresas deben monitorear continuamente los sistemas para detectar de inmediato cualquier actividad inusual.

  • Revisar y actualizar el plan de respuesta a incidentes: Después de la filtración, las empresas deben revisar su plan de respuesta a incidentes y actualizarlo en función de las lecciones aprendidas. Esto mejora la preparación en caso de incidentes adicionales.

  • Soporte y asistencia al cliente: Las empresas deben brindar apoyo a los clientes afectados, lo que puede incluir ofrecer servicios de monitoreo de crédito o una línea directa para consultas.

A lo largo de este proceso, las empresas deben centrarse en la precisión y la responsabilidad, y tomar medidas proactivas para reconstruir la confianza y garantizar la seguridad de los datos de los clientes.

El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, adecuación o vigencia de la información incluida en el artículo. Si necesitas asistencia para tu situación particular, te recomendamos consultar a un abogado o un contador competente con licencia para ejercer en tu jurisdicción.

Más artículos

¿Todo listo para empezar?

Crea una cuenta y empieza a aceptar pagos sin necesidad de firmar contratos ni proporcionar datos bancarios. Si lo prefieres, puedes ponerte en contacto con nosotros para que diseñemos un paquete personalizado para tu empresa.
Payments

Payments

Acepta pagos en línea y en persona desde cualquier parte del mundo con una solución de pagos diseñada para todo tipo de negocios.

Documentación de Payments

Encuentra una guía para integrar las API de pagos de Stripe.