¿Qué es un Entorno de Datos del Titular?

Qué es el Entorno de Datos del Titular

El entorno de datos del titular (CDE, Cardholder Data Environment) es el término que PCI DSS utiliza para describir todo sistema, proceso y persona que almacena, procesa o transmite datos del titular o datos sensibles de autenticación. También incluye cualquier sistema que esté conectado a esos sistemas o que pueda afectar a su seguridad. En términos sencillos, si algo toca datos de tarjeta o está conectado a algo que los toca, forma parte de tu CDE.

Entender tu CDE es la base del cumplimiento de PCI DSS. No puedes proteger lo que no conoces, y no puedes cumplir el estándar si no has identificado todos los componentes que caen dentro del alcance.

Qué queda dentro del CDE

El CDE incluye más que el servidor donde se almacenan los números de tarjeta. Abarca todo el flujo de datos y todo lo conectado a él.

Sistemas que manejan datos de tarjeta

• Terminales de pago y sistemas de punto de venta
• Terminales virtuales donde los agentes introducen los datos de la tarjeta
• Pasarelas de pago y aplicaciones de pago
• Bases de datos que almacenan números de tarjeta, aunque estén cifrados
• Servidores web que alojan páginas de pago online
• Sistemas de grabación de llamadas que capturan datos de tarjeta en el audio
• Sistemas de CRM o facturación donde se almacenan números de tarjeta para transacciones repetidas

Sistemas conectados

Aquí es donde el alcance pilla por sorpresa a muchas organizaciones. Los sistemas que no manejan directamente datos de tarjeta pero están conectados a sistemas que sí los manejan se consideran «dentro del alcance» porque un compromiso del sistema conectado podría dar acceso a los datos del titular.

• Switches, routers y firewalls de red del mismo segmento
• Servidores de Active Directory o de autenticación que controlan el acceso a los sistemas de pago
• Sistemas de monitorización y logging que recogen datos de sistemas del CDE
• Puestos de trabajo en el mismo segmento de red que los sistemas de pago
• Concentradores VPN y sistemas de acceso remoto usados para llegar al CDE

Personas

El CDE no es solo tecnología. Cualquier persona que maneje datos del titular, tenga acceso a sistemas del CDE o gestione la seguridad de esos sistemas entra en el alcance. Esto incluye a los agentes del contact centre que manejan datos de tarjeta, a los administradores de TI que gestionan los servidores de pago y al personal de seguridad que vigila el entorno.

Por qué importa el alcance del CDE

El tamaño de tu CDE determina directamente el coste y la complejidad del cumplimiento de PCI DSS. Cada sistema dentro del alcance debe cumplir los requisitos de seguridad pertinentes. Cada persona dentro del alcance necesita formación. Cada segmento de red necesita protección. Cada sistema necesita logging, monitorización, parcheo y pruebas regulares.

Para una organización grande con un CDE extenso, esto puede significar cientos o miles de sistemas, documentación amplia y una inversión continua importante en seguridad. Para un negocio pequeño que ha limitado con cuidado por dónde pasan los datos de tarjeta, el CDE puede ser apenas un puñado de sistemas con requisitos de cumplimiento mucho más sencillos.

Por eso «reducir el alcance» es una de las estrategias más importantes en el cumplimiento de PCI DSS. Cuanto menos datos de tarjeta toquen tus sistemas, menor será tu CDE y más fácil y barato será cumplir.

Definir los límites de tu CDE

Mapear tu CDE implica trazar el recorrido completo de los datos del titular por tu organización. Empieza por el punto donde los datos de la tarjeta entran en tu entorno y síguelos por todos los sistemas que tocan hasta que salen o se destruyen.

Un enfoque práctico incluye los siguientes pasos.

• Mapa del flujo de datos: documenta cómo se mueven los datos de tarjeta por tus sistemas. ¿Por dónde entran? ¿Qué sistemas los procesan? ¿Dónde se almacenan? ¿Adónde van cuando salen? Dibújalo como un diagrama y traza cada ruta.
• Revisión del diagrama de red: superpón el flujo de datos sobre tu arquitectura de red. Identifica cada segmento de red, cada dispositivo y cada punto de conexión por el que pasan los datos de tarjeta o al que se conectan.
• Mapa de personas: identifica cada rol que tiene acceso a datos del titular o a sistemas del CDE. Incluye contratistas, personal de soporte externo y cualquiera con acceso administrativo.
• Evaluación de terceros: identifica a cada proveedor de servicios externo que maneje datos de tarjeta en tu nombre o se conecte a tu CDE. Su estado de cumplimiento afecta directamente al tuyo.

El CDE en entornos de pago telefónico

Los contact centres y las operaciones de pago telefónico suelen tener los CDE más complejos y amplios. Esto se debe a que los datos de tarjeta en un pago telefónico pueden tocar una variedad extraordinaria de sistemas.

Imagina un pago telefónico típico en el que el cliente le lee su número de tarjeta a un agente. Los datos de la tarjeta pasan por el sistema de telefonía (troncales SIP, PBX, controladores de borde de sesión), los auriculares del agente, la plataforma de grabación de llamadas, el puesto del agente (teclado, sistema operativo, navegador), la red de área local, cualquier servidor VPN o proxy y, por último, la pasarela de pagos. Cada uno de esos sistemas forma parte del CDE.

Si los agentes trabajan desde casa, el alcance se extiende aún más, hasta los routers de banda ancha doméstica, las redes Wi-Fi del hogar y, en algunos casos, los dispositivos personales. Para organizaciones con agentes remotos, esto puede hacer el cumplimiento de PCI DSS extremadamente complicado.

Reducir el CDE

La estrategia más eficaz para gestionar el alcance del CDE es mantener los datos de tarjeta fuera de tus sistemas siempre que sea posible. Las tecnologías y enfoques que ayudan incluyen:

• Enmascaramiento DTMF: para pagos telefónicos, el enmascaramiento DTMF intercepta los datos de tarjeta desde el teclado del cliente y los enruta directamente al procesador de pagos. Los datos de tarjeta no entran nunca en el entorno del agente, los sistemas de telefonía ni las grabaciones de llamadas, reduciendo drásticamente el CDE.
• Páginas de pago alojadas: para pagos online, usar una página de pago alojada significa que los datos de tarjeta van directamente desde el navegador del cliente al proveedor de pagos. No tocan nunca los servidores web del comercio.
• Tokenización: sustituir los números de tarjeta por tokens significa que los sistemas downstream como CRM, facturación y reportes pueden referenciar transacciones sin almacenar datos reales de tarjeta.
• Segmentación de red: aislar el CDE del resto de la red corporativa mediante firewalls, VLAN y controles de acceso limita el número de sistemas conectados que entran en el alcance.

Cada uno de estos enfoques saca sistemas del CDE, reduce el número de requisitos de PCI DSS aplicables y simplifica el camino al cumplimiento. El escenario ideal —y el que organizaciones como Paytia hacen posible— es un CDE tan pequeño que los propios sistemas del comercio apenas figuran en él.