Bull protege los datos de los usuarios de las tarjetas de crédito

varios_logo_bullLa multinacional Bull es una de las primeras consultoras TIC en ofrecer una solución que permite a las entidades financieras adaptar sus sistemas de medios de pago a la nueva norma PCI-DSS (Payment Card Industry Security Standards Council), que obliga a las organizaciones que procesan, almacenan y/o transmiten datos de titulares de tarjeta a asegurar la información para evitar los fraudes asociados a las tarjetas de pago. La normativa establece una serie de requisitos técnicos, operativos y de negocio desarrollados para proteger la información relativa a los titulares de tarjetas.

PCI-DSS obliga a proteger, entre otros, los datos almacenados del titular de la tarjeta, a cifrar la transmisión de estos datos en las redes públicas abiertas y al rastreo y supervisión de todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas. “Las plataformas de medios de pago actuales –explica Miguel Gil, Director de Banca de Bull- no cumplen esta normativa, que impacta en el intercambio de información con otras aplicaciones y entidades en las que aparece el PAN, en el almacenamiento de la información, en los ficheros en los que se trata esta información y en las interfaces con otras aplicaciones”. El NO cumplimiento de la normativa en Medios de Pago se podría propagar al resto de la entidad quedando TODA ella comprometida.

La normativa quiere acabar con el robo de información y el uso fraudulento de las tarjetas y mejorar el nivel de seguridad de los pagos, minimizando el riesgo ante posibles intrusiones. Asimismo, incrementa la confianza de los usuarios en las transacciones realizadas con tarjetas y permite luchar contra la suplantación y otros fraudes que se producen en Internet. Para ello, la normativa protege el PAN, Personal Account Number, y los datos asociados como la fecha de caducidad, el nombre del titular de la tarjeta, el código de servicio de la tarjeta y los datos de la banda magnética.

“Todo componente del “sistema” que almacene, transmita o procese datos de los titulares de tarjetas está obligado a su cumplimento, como comercios, proveedores de servicios y entidades adquirentes”, indica Miguel Gil. Estas últimas, además, tienen la responsabilidad de asegurar que sus comercios conocen la normativa, del seguimiento de su cumplimiento y de comunicar su estado.

La solución de Bull
La propuesta de Bull contempla los servicios de “tokenizado” y “ofuscamiento”/enmascaramiento:
• En el primero los datos que son confidenciales y necesarios se reemplazan con valores (tokens) del mismo tipo y tamaño, que hacen referencia a los datos confidenciales, que se cifran y almacenarán en el sistema de “tokenización”. Se completa con el mantenimiento de una tabla de pares con la información cifrada de modo seguro del PAN en claro y su correspondiente “tokenizado”, tanto para tarjetas propias como ajenas.
• En el servicio de “ofuscamiento” se hacen ilegibles los datos no necesarios, que se mostrarán al usuario y al resto de la instalación enmascarados, asegurando la integridad de las comunicaciones al no procesar información sensible.

Bull implementa una capa segura, controlada y auditada, de acceso a la información. El diseño de la tabla de pares es compatible con la gestión segura de las claves de criptografía y los cambios planificados de las mismas. En paralelo, actualiza los registros de las tablas del modelo de datos y las interfases de Medios de Pago en los que se almacene el PAN en claro con el PAN “tokenizado”.

También identifica los soportes intercambiados con otras aplicaciones que contienen la información afectada por PCI-DSS para que los departamentos implicados hagan uso de los servicios habilitados y analicen el impacto de PCI en sus modelos de datos. Del mismo modo, localiza los soportes que se envían o reciben con otras entidades para la revisión de los requisitos de PCI y para evaluar la necesidad de cifrado de información y el enmascaramiento de la información a mostrar en las distintas interfases: pantallas, listados.

La solución incluye cifrado y descifrado de la mensajería que se trata con aquellas entidades con las que se intercambia información de forma segura.

Además, habilita servicios de registro que permitan acotar el alcance de algún riesgo: mediante el registro de usuario, evento, fecha… para los eventos auditables que contiene el requisito 10 (rastree y supervise los datos de los titulares de las tarjetas), es posible identificar rápidamente un riesgo potencial y, con suficiente detalle conocer quién, qué, dónde, cuándo y cómo.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .