¿Qué es la Reducción de Alcance PCI DSS?

¿Qué es la reducción de alcance PCI DSS?

Reducir el alcance de PCI DSS significa disminuir el número de sistemas, redes y procesos de tu organización que entran dentro del alcance del cumplimiento de PCI DSS. En lugar de intentar proteger cada sistema que pudiera tocar datos del titular de la tarjeta, el descoping elimina por completo los datos de esos sistemas, de modo que ya no necesitan cumplir los requisitos de PCI DSS.

Es la diferencia entre instalar una cerradura de alta seguridad en cada habitación de tu casa o, sencillamente, no guardar nada valioso en la mayoría de ellas. Si una habitación nunca contiene nada sensible, no hace falta protegerla con el mismo estándar. El descoping aplica esta misma lógica a tu infraestructura informática y de telefonía.

Por qué importa el descoping

El cumplimiento de PCI DSS es caro, lleva mucho tiempo y es complejo. Cada sistema que almacena, procesa o transmite datos del titular de la tarjeta debe cumplir todos los requisitos de PCI DSS. Para un centro de contacto, esto puede incluir:

• Las estaciones de trabajo de los agentes y el software que se ejecuta en ellas
• La red interna que conecta esas estaciones de trabajo
• Los sistemas de grabación de llamadas que capturan los datos de tarjeta en formato audio
• Los sistemas CRM y de facturación donde se introducen o muestran datos de tarjeta
• La infraestructura de telefonía que transporta los datos de voz
• Los controles de seguridad física en las zonas donde trabajan los agentes

Proteger todos estos sistemas requiere firewalls, cifrado, controles de acceso, monitorización, escaneos de vulnerabilidades periódicos, pruebas de penetración y, o bien un Cuestionario de Autoevaluación, o bien una auditoría completa in situ a cargo de un Qualified Security Assessor (Evaluador de Seguridad Cualificado). El coste se acumula rápido, sobre todo en organizaciones grandes con cientos de agentes.

El descoping reduce o elimina estos costes asegurándose de que los datos del titular de la tarjeta no entren, de entrada, en los sistemas.

Cómo funciona el descoping

El descoping se consigue utilizando tecnologías y procesos que impiden que los datos del titular de la tarjeta entren en tu entorno. Los enfoques más habituales incluyen:

Supresión DTMF

En entornos de pago telefónico, la supresión DTMF permite a los clientes introducir los datos de su tarjeta usando el teclado del teléfono mientras el agente sigue en línea. Los tonos del teclado se enmascaran, por lo que el agente no puede identificar los dígitos. Los datos de la tarjeta se enrutan directamente a un procesador de pagos certificado en PCI sin pasar por la infraestructura del centro de contacto. El agente oye la conversación, pero nunca oye, ve ni maneja los datos de la tarjeta.

Páginas de pago alojadas y enlaces de pago

Para pagos online e híbridos, las páginas de pago alojadas capturan los datos de la tarjeta en una página operada por el proveedor de pago, no por el comercio. Los enlaces de pago extienden esto a los canales de teléfono y correo: el comercio envía un enlace, el cliente introduce sus datos en la página segura del proveedor y los sistemas del comercio nunca tocan los datos de la tarjeta.

Tokenización

Tras la captura segura inicial de los datos de la tarjeta, la tokenización sustituye el número de tarjeta por un token que no tiene valor explotable. El comercio almacena el token, no el número de tarjeta. Eso significa que la base de datos, el CRM y los sistemas de facturación del comercio quedan fuera de alcance porque nunca contienen datos reales del titular de la tarjeta.

Cifrado punto a punto (P2PE)

Para pagos con presencia de tarjeta, las soluciones P2PE validadas por PCI cifran los datos de la tarjeta en el punto de captura (el terminal) y los mantienen cifrados hasta que llegan al entorno seguro de descifrado. Como los datos son ilegibles en tránsito y en reposo, los sistemas por los que pasan se consideran fuera de alcance.

El impacto del descoping

El impacto práctico del descoping puede ser drástico. Imagina un centro de contacto con 200 agentes que actualmente gestiona los datos de tarjeta mediante terminales virtuales en los que el agente introduce la información:

• Antes del descoping: las 200 estaciones de trabajo, la red de telefonía, la plataforma de grabación de llamadas, el sistema CRM y la red interna están todos dentro del alcance de PCI DSS. La organización afronta costes anuales de cumplimiento de decenas de miles de libras, además de la carga operativa continua de mantener los controles de seguridad en todos estos sistemas.
• Después del descoping: los datos de la tarjeta se capturan mediante supresión DTMF y se enrutan directamente a un procesador certificado en PCI. Las estaciones de trabajo, la red de telefonía, la plataforma de grabación y el CRM quedan todos fuera de alcance. La obligación de cumplimiento se traslada al proveedor de servicios certificado y la organización puede llegar a optar al Cuestionario de Autoevaluación más simple (SAQ A).

Descoping y pagos telefónicos

Los centros de contacto son uno de los entornos donde el descoping tiene mayor impacto. Los procesos tradicionales de pago telefónico meten los datos de la tarjeta en el flujo de voz, en el trabajo del agente y en el sistema de grabación, generando un alcance de cumplimiento amplio. El descoping mediante supresión DTMF o enlaces de pago elimina los datos de la tarjeta de todos esos puntos en un solo paso.

Esto no solo reduce costes. Mejora la seguridad. El descoping funciona porque los datos que no están presentes no se pueden robar. Ningún nivel de configuración de firewall, cifrado o monitorización puede igualar la seguridad de, sencillamente, no tener los datos ahí.

Consideraciones prácticas

• El descoping no es lo mismo que no tener que cumplir. Incluso las organizaciones totalmente descoped deben completar el SAQ correspondiente y mantener una Attestation of Compliance (declaración de cumplimiento)
• La segmentación de red puede sacar parcialmente de alcance los entornos aislando los sistemas que manejan datos de tarjeta de los que no. Sin embargo, descoper por completo eliminando los datos de tarjeta es más eficaz
• La diligencia debida sobre terceros es esencial. Cuando descopes externalizando el manejo de datos de tarjeta a un proveedor, el estado de cumplimiento del proveedor afecta directamente a tu postura de seguridad
• Valida tu alcance con un QSA. Antes de dar por hecho que tu entorno está fuera de alcance, consulta con un Qualified Security Assessor para confirmar que no se están filtrando datos de tarjeta a sistemas que crees que están fuera
• PCI DSS v4.0 ha subido el listón para las organizaciones que manejan datos de tarjeta directamente, haciendo que el descoping sea aún más atractivo desde el punto de vista coste-beneficio

El descoping es la estrategia más eficaz para gestionar el cumplimiento de PCI DSS. En lugar de construir una fortaleza cada vez más compleja alrededor de los datos del titular de la tarjeta, las empresas inteligentes están sacando los datos por completo de su entorno y dejando que los gestionen especialistas certificados en PCI. El resultado es mejor seguridad, menos costes y operaciones más simples.