Cuando hablamos de «entorno de datos del titular de la tarjeta» (CDE) nos referimos a los mecanismos que procesan, transmiten o almacenan información del titular de la tarjeta en una empresa. En concreto, abarca todos los componentes del sistema directamente implicados en la gestión de los datos del titular de la tarjeta, por lo que puede tratarse de software, hardware y cualquier otro procedimiento o política que afecte a la seguridad de las transacciones con tarjeta de crédito y de los datos.
A continuación, encontrarás lo que necesitas saber sobre el CDE: el papel que desempeña en los pagos, cómo funciona y cómo pueden las empresas cultivar un entorno de pagos sólido, seguro y fiable.
¿De qué trata este artículo?
- ¿Qué papel desempeña el CDE en el sector de las tarjetas de pago?
- Componentes, requisitos y tipos de datos en el CDE
- Requisitos de la normativa PCI DSS con respecto al CDE
- Cómo crear y mantener un CDE seguro
- Cómo gestionar una filtración en un CDE
¿Qué papel desempeña el CDE en el sector de las tarjetas de pago?
El CDE es la infraestructura de la empresa en la que los datos de las tarjetas de pago se procesan, almacenan o transmiten. Este entorno abarca todos los sistemas técnicos y operativos que gestionan datos de tarjetas de pago. Lo que sigue es un resumen de varias de las funciones importantes que el CDE ofrece dentro del concepto más amplio de ecosistema de pagos.
Protección de los datos del titular de la tarjeta: las empresas utilizan el CDE para proteger la información de pago del cliente frente al acceso no autorizado y las filtraciones de datos. En 2021, se produjeron más de 4100 filtraciones de este tipo, según un informe de Flashpoint y Risk Based Security. Contar con un entorno especializado permite a las empresas concentrar las medidas de seguridad donde más se necesitan.
Cumplimiento de la normativa: las entidades que manejan datos de titulares de tarjetas deben observar el estándar de seguridad de datos del sector de pagos con tarjeta (PCI DSS), y el CDE es el lugar al que dirigen sus esfuerzos para cumplir la normativa pertinente.
Mitigación de riesgos: el CDE otorga a las empresas la posibilidad de detectar y reducir los riesgos a los que se exponen los datos de pago. Dadas las posibles repercusiones de una filtración de datos, es importante proteger estos datos. Por ejemplo, en 2013, una filtración de datos de tarjetas de crédito a gran escala que sufrió Target provocó unos gastos acumulados de más de 290 millones de dólares y una caída en el precio de sus acciones.
Confianza del cliente:un CDE seguro puede generar confianza entre los clientes, ya que les demuestra que su información de pago está a salvo.
Conservación de la integridad de las transacciones: el CDE se asegura de que las transacciones se lleven a cabo de forma segura y precisa, de forma que se mantenga la integridad del proceso de pagos.
Evitación de consecuencias legales y financieras: las filtraciones de datos pueden conllevar acciones legales e importantes pérdidas financieras. Las empresas utilizan el CDE para protegerse de estos efectos.
Una empresa que gestiona datos de tarjetas de pago sin contar con una estrategia de CDE eficaz pone en riesgo su salud financiera y su reputación. A continuación, describiremos cómo desarrollar un plan meditado para minimizar los riesgos y maximizar los beneficios.
Componentes, requisitos y tipos de datos en el CDE
En un CDE, interactúan varios componentes para gestionar la información confidencial de las tarjetas de pago. Vamos a analizar ahora estos componentes, los requisitos para protegerlos y los tipos de datos que gestionan.
Componentes
- Hardware: incluidos los servidores y las estaciones de trabajo en los que se ejecuta el software de procesamiento de pagos. También se refiere a los componentes de red, como los routers, los conmutadores y los cortafuegos, que dirigen y protegen los datos a medida que avanzan por las redes.
- Terminales de pago: son dispositivos físicos ubicados en los puntos de venta en los que los clientes insertan la tarjeta de pago, la aproximan o pasan la banda magnética.
- Sistemas de almacenamiento: se refiere a las áreas en las que se conservan los datos de las tarjetas de pago, ya sea en forma de archivos digitales, bases de datos o copias de seguridad. Esta categoría incluye medios extraíbles, como las unidades USB y las cintas de copia de seguridad.
- Aplicaciones: se trata del software que procesa los pagos, como los sistemas de puntos de venta y las pasarelas de pagos en línea.
- Controles de acceso: son sistemas diseñados para autenticar la identidad de los usuarios que acceden al CDE, tanto en el acceso físico a zonas restringidas como en el acceso digital a sistemas de datos.
Requisitos
- Cifrado de datos: los datos de las tarjetas de pago deben cifrarse mediante estándares criptográficos, en especial cuando se transmiten mediante redes abiertas o públicas.
- Gestión del acceso: solo deben tener acceso al CDE las personas autorizadas. Además, sus actividades deben registrarse y supervisarse.
- Seguridad física: el acceso físico al CDE debe controlarse y supervisarse. Los puntos de entrada deben estar protegidos frente al acceso no autorizado.
- Comprobaciones regulares: es necesario llevar a cabo exploraciones y pruebas de penetración regulares para identificar y corregir las vulnerabilidades.
- Políticas de conservación y eliminación de datos: las empresas deben contar con políticas claras que rijan el tiempo durante el que se conservan los datos de los titulares de tarjetas y con procedimientos para la eliminación segura de dichos datos cuando ya no se necesitan.
- Gestión de proveedores: los terceros que tengan acceso al CDE también deben observar estos requisitos de seguridad.
Tipos de datos
- Información del titular de la tarjeta: incluye el nombre del titular de la tarjeta, el número de tarjeta, la fecha de caducidad y el código de servicio, información que suele encontrarse en el anverso de la tarjeta de pago.
- Datos de autentificación confidenciales: son elementos como el código de seguridad de la tarjeta (el valor de verificación de la tarjeta [CVV] o CVV2), los números de identificación personal (PIN) y los datos del chip o de la banda magnética, que se utilizan para autenticar a los titulares de las tarjetas y para autorizar las transacciones.
El CDE debe ser un asunto prioritario para toda empresa que gestione pagos de clientes, independientemente del sector, el volumen de pagos u otros factores de riesgo. Las empresas que conocen bien los componentes de su CDE y se atienen a los requisitos de seguridad pueden proteger de forma eficaz la información del titular de la tarjeta frente a filtraciones de datos y usos indebidos.
Requisitos de la normativa PCI DSS con respecto al CDE
La normativa PCI DSS ofrece directrices para proteger los datos de las tarjetas de pago dentro del CDE. Estos estándares completos y detallados tienen como finalidad proteger los datos del titular de la tarjeta desde el momento en que se utiliza la tarjeta hasta que finaliza el proceso de transacción y más allá. Analicemos en detalle los requisitos clave:
Instalar un cortafuegos y mantener su configuración: los cortafuegos actúan como guardianes del CDE. Deben configurarse y gestionarse adecuadamente para que controlen el tráfico de red entrante y saliente en función del conjunto de reglas aplicado, de forma que se garantice el bloqueo del acceso no autorizado.
Cambiar los ajustes predeterminados que proporciona el proveedor en cuanto a contraseñas del sistema y parámetros de seguridad: los sistemas a menudo utilizan contraseñas y ajustes predeterminados, que representan una vulnerabilidad fácil de explotar. Las empresas deben cambiar estos ajustes predeterminados por contraseñas y configuraciones únicas y complejas antes de vincular los sistemas.
Proteger los datos de los titulares de tarjetas almacenados: si una empresa almacena datos de los titulares de tarjetas, debe cifrarlos mediante métodos aceptados. El acceso a los datos debe producirse según el principio de «necesidad de saber». Además, deben existir políticas estrictas que determinen durante cuánto tiempo se conservan los datos, así como procedimientos claros para su eliminación.
Cifrar la transmisión de los datos de titulares de tarjetas en redes públicas: dado que los datos se pueden interceptar durante la transmisión, deben cifrarse mediante métodos de cifrado robustos cuando se envíen a través de redes fácilmente accesibles, como Internet.
Utilizar software antivirus y actualizarlo regularmente: el software antivirus ayuda a proteger los sistemas frente a programas maliciosos. Debe utilizarse en todos los sistemas a los que va dirigido el software malicioso. Además, es clave actualizarlo regularmente.
Desarrollar y mantener sistemas y aplicaciones seguros: las empresas deben proteger todos los componentes del sistema frente a las vulnerabilidades mediante la instalación de parches de seguridad. Si la empresa desarrolla aplicaciones, la seguridad debe ser un aspecto primordial para ella.
Proporcionar acceso a los datos del titular de la tarjeta siguiendo estrictamente el principio de «necesidad de saber»: las empresas deben poner en práctica el principio del privilegio mínimo, según el cual se permite a una persona acceder solo a los datos, los recursos y las funciones necesarios para llevar a cabo su trabajo.
Asignar un ID único a cada persona con acceso informático: este hecho permite rastrear las acciones llevadas a cabo sobre datos y sistemas clave hasta llegar al autor, lo que ayuda a depurar responsabilidades.
Restringir el acceso físico a los datos del titular de la tarjeta: las medidas físicas de protección deben evitar que accedan personas no autorizadas a los sistemas y ubicaciones de almacenamiento de datos. Aquí se incluyen las cerraduras, los controles de acceso y los mecanismos de supervisión.
Llevar un seguimiento y una supervisión de todo acceso a los recursos de la red y a los datos de los titulares de tarjetas: los mecanismos de inicio de sesión y la capacidad de rastrear las actividades de los usuarios son importantes a la hora de detectar y prevenir las filtraciones de datos y responder a ellas.
Probar con regularidad los sistemas y procesos de seguridad: deben llevarse a cabo pruebas de esfuerzo sobre los sistemas y procesos de seguridad con regularidad para asegurarse de que su configuración sea adecuada y de que sean eficaces en la protección de los datos de los titulares de tarjetas.
Mantener una política que aborde la seguridad de la información: las empresas deben establecer y mantener una política formal que abarque la tecnología, los programas de concienciación y la seguridad de la información con una estructura de gestión clara y, además, comunicar esta política a todos los empleados y contratistas.
La aplicación de estos requisitos contribuye a crear un entorno seguro para la gestión de los datos de los titulares de tarjetas, de modo que tanto la empresa como los clientes estén protegidos frente a las filtraciones de datos al tiempo que se mantienen la confianza y la integridad. Mediante el cumplimiento constante de la normativa PCI DSS, las empresas demuestran su compromiso con la seguridad y respaldan otro objetivo más amplio: crear un entorno de pagos seguro.
Cómo crear y mantener un CDE seguro
¿Cómo se crea y mantiene un CDE robusto? Este es un resumen del proceso:
Define el ámbito del CDE: identifica todos los sistemas, personas y procesos que almacenan, procesan o transmiten datos de titulares de tarjetas. Haz un mapa de los flujos de datos para asegurarte de que no se pasa por alto ninguna parte del entorno.
Segmenta la red: aísla el CDE de otros recursos de la red para limitar el acceso. De esta forma, se reduce el número de sistemas que pueden interactuar con el CDE, con lo que se minimizan los posibles vectores de ataque.
Protege los datos mediante cifrado: utiliza un cifrado robusto para almacenar y transmitir los datos del titular de la tarjeta. El cifrado actúa como un candado que hace que los agentes no autorizados no puedan leer los datos, ya que se necesita la clave correcta.
Controla el acceso: asegúrate de que solo tenga acceso al CDE el personal autorizado. Esto se consigue con una adecuada verificación de la identidad mediante ID y métodos de autenticación robustos.
Seguridad física: protege las ubicaciones físicas del CDE (como las salas con cerradura, las cámaras de seguridad y los sistemas de control del acceso) frente al acceso no autorizado.
Mantén al día los sistemas de seguridad: asegúrate de que las aplicaciones de seguridad, como los cortafuegos, el software antivirus y los sistemas de detección de intrusos, estén actualizados para garantizar la protección frente a nuevas amenazas.
Desarrolla y aplica políticas de seguridad: redacta políticas claras en las que se definan las expectativas en cuanto a seguridad y forma al personal en consecuencia. Incluye procedimientos para las operaciones cotidianas con instrucciones detalladas sobre la forma de proceder ante incidentes de seguridad y sobre cómo llevar a cabo auditorías regulares.
Supervisa y registra todas las actividades: implementa mecanismos de inicio de sesión para que quede constancia de quién accede al CDE, qué hace y cuándo lo hace. Revisa los registros con regularidad para detectar posibles actividades sospechosas.
Comprueba las medidas de seguridad: lleva a cabo pruebas regulares, como exploraciones de vulnerabilidades y pruebas de penetración, para identificar y corregir las debilidades de seguridad.
Responde a las vulneraciones de seguridad: crea un plan de respuesta a incidentes en el que se defina el método para responder a las vulneraciones de seguridad. Este debe incluir estrategias de contención, planes de comunicación y pasos para evitar incidentes adicionales.
Revisión y mejoras regulares: la seguridad es un proceso en constante desarrollo. Revisa y actualiza con regularidad los controles, políticas y procedimientos de seguridad para adaptarte a las nuevas amenazas.
Debida diligencia de proveedores: si hay terceros con acceso al CDE, investígalos a conciencia y asegúrate de que cumplan los requisitos de seguridad.
Un CDE seguro precisa supervisión continua, actualizaciones regulares de las defensas y una cultura de concienciación en cuanto a seguridad en toda la empresa.
Cómo gestionar una filtración en un CDE
Incluso con una planificación y un mantenimiento esmerados, es casi inevitable que ocurra alguna filtración de datos. La naturaleza del fraude cambia constantemente, por lo que incluso los CDE mejor planteados presentan vulnerabilidades. Una estrategia de CDE no está completa si no cuenta con un plan sólido para gestionar las filtraciones cuando ocurran.
Respuesta y contención inmediatas: detecta la filtración de datos y contenla de forma inmediata. Para ello, debes aislar los sistemas afectados con el fin de evitar una mayor pérdida de datos. Por ejemplo, si la filtración se produce en un servidor específico, ese servidor debe desconectarse de la red.
Evalúa y analiza la filtración: lleva a cabo una investigación minuciosa para determinar el alcance de la filtración. Esto implica identificar los datos a los que se ha accedido, la forma en que se ha producido la filtración y la duración de la exposición. En este análisis pueden ser de ayuda las herramientas y técnicas forenses.
Notifica a las partes que corresponda: la transparencia es clave en la gestión de una vulneración del CDE. La empresa debe notificar a todos los clientes afectados e informarles sobre la naturaleza de la filtración, la información filtrada y los pasos que la empresa está tomando para corregir la situación. Además, es posible que exista un imperativo legal por el que las empresas deban notificar a los organismos reguladores sobre la filtración.
Contrata a expertos en asuntos legales y de cumplimiento de la normativa: un asesor legal podría valorar las consecuencias de la filtración y encargarse de que se cumplan todas las leyes y normativas pertinentes. Es especialmente importante trabajar con expertos, dado que las leyes sobre filtraciones de datos varían en función de la zona geográfica y el sector.
Mejora las medidas de seguridad: a partir de las conclusiones de la investigación, la empresa debe implementar medidas de seguridad mejoradas para evitar las filtraciones. Para ello, podría ser necesario actualizar el software, reforzar los cortafuegos o mejorar los métodos de cifrado.
Formación y concienciación de los empleados: a menudo, las filtraciones se producen a causa de un error humano. Es importante formar a los empleados en cuanto a las mejores prácticas en relación con la seguridad de los datos y la importancia de proteger la información del cliente.
Gestión de las relaciones públicas: la empresa debe comunicar de forma abierta los pasos que está tomando para abordar la filtración y evitar incidentes adicionales.
Supervisión continua: tras abordar los efectos inmediatos de la filtración, la empresa debe llevar a cabo una supervisión continua de los sistemas para detectar de forma inmediata cualquier actividad inusual.
Revisa y actualiza el plan de respuesta a incidentes: tras la filtración, la empresa debe revisar su plan de respuesta a incidentes y actualizarlo a la luz de las lecciones aprendidas. De esta forma, estará mejor preparada en caso de que se produzcan más incidentes.
Soporte y asistencia para clientes: la empresa debe prestar asistencia a los clientes afectados, por ejemplo, ofreciendo servicios de supervisión del crédito o una línea telefónica para consultas.
A lo largo de todo este proceso, las empresas deben centrarse en la precisión y la asunción de responsabilidades, así como tomar medidas proactivas encaminadas a restaurar la confianza y garantizar la seguridad de los datos de los clientes.
El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, adecuación o vigencia de la información incluida en el artículo. Si necesitas asistencia para tu situación particular, te recomendamos consultar a un abogado o un contador competente con licencia para ejercer en tu jurisdicción.