¿Qué es un PAN (Número de Cuenta Primario)?

El Número de Cuenta Primario (PAN) es el número largo grabado o impreso en una tarjeta de pago: normalmente 16 dígitos, aunque Amex usa 15 y algunas marcas van de 13 a 19. Está estructurado: los primeros seis dígitos son el Bank Identification Number (BIN) que identifica al emisor, los dígitos centrales son la cuenta del titular y el último es un dígito de control de Luhn que detecta errores de tecleo antes de que la red los vea. Bajo PCI DSS, el PAN es el elemento central de los «datos del titular de la tarjeta». Almacenarlo en texto plano es una infracción grave. Debe cifrarse o tokenizarse en reposo, cifrarse en tránsito y truncarse al mostrarlo, normalmente a los primeros seis y los últimos cuatro dígitos.

El PAN —también llamado número de tarjeta o número de cuenta primario— es lo que la mayoría de la gente visualiza al pensar en una tarjeta de crédito o débito. Es el número que dictas cuando reservas un hotel por teléfono, el que tecleas en un checkout o el que tocas en un lector contactless. Los auditores usan «PAN» en lugar de «número de tarjeta» por precisión: PCI DSS trata el PAN como la pieza clave de los datos del titular, y las reglas para manejarlo son más estrictas que para cualquier otro campo de la tarjeta. Saca el PAN de tu entorno —mediante enmascaramiento DTMF o tokenización— y la mayor parte de tu alcance PCI se va con él.

Qué es el PAN

El Número de Cuenta Primario, o PAN, es el número largo grabado o impreso en el anverso (o a veces en el reverso) de una tarjeta de pago. En la mayoría de las tarjetas es un número de 16 dígitos, aunque algunas marcas usan longitudes distintas: las tarjetas American Express tienen 15 dígitos, por ejemplo. Es el número que identifica una cuenta concreta del titular ante el banco emisor.

Cuando se habla de «número de tarjeta» en una conversación cotidiana, se está hablando del PAN. Es el dato más importante de cualquier transacción con tarjeta y, en consecuencia, el dato que los delincuentes más quieren robar.

Cómo Está Estructurado el PAN

Un PAN no es una cadena aleatoria de dígitos. Cada sección tiene un significado concreto.

• El primer dígito identifica el sector de tarjetas. Las que empiezan por 4 son Visa, las que empiezan por 5 (o por el rango 2221-2720) son Mastercard, y el 3 indica American Express u otras marcas.
• Los primeros seis a ocho dígitos forman el Bank Identification Number (BIN), que identifica al banco emisor y al tipo de tarjeta (crédito, débito, prepago, corporativa, etc.).
• Los dígitos centrales son el número de cuenta individual que el banco emisor asigna a cada titular.
• El último dígito es un dígito de control calculado con el algoritmo de Luhn, una fórmula matemática sencilla que detecta errores accidentales en el número de la tarjeta. Si tecleas mal un solo dígito, el dígito de control no cuadra y el sistema rechaza el número antes incluso de que llegue a la red de pagos.

Por Qué el PAN es Sensible

El PAN se clasifica como dato del titular de la tarjeta bajo PCI DSS, y con motivo. Combinado con la fecha de caducidad y el código de seguridad de la tarjeta, el PAN es todo lo que un delincuente necesita para hacer compras fraudulentas sin presencia de tarjeta: online, por teléfono o por correo.

A diferencia de un PIN, que el titular memoriza y nunca comparte, el PAN es visible en la propia tarjeta y se transmite en cada transacción. Eso lo hace intrínsecamente más vulnerable. Todo sistema que ve, almacena o transmite el PAN se convierte en un objetivo potencial para los ladrones de datos.

Por eso existe PCI DSS: para crear un conjunto de reglas de seguridad que protejan el PAN en cada etapa de su recorrido, desde el momento en que un cliente entrega los datos de su tarjeta hasta el punto en que la transacción se liquida y los datos se almacenan de forma segura o se destruyen.

Cómo se Usa el PAN en las Transacciones

Todo pago con tarjeta, presencial o a distancia, empieza con el PAN. Esta es una versión simplificada de cómo fluye en una transacción típica.

• El cliente proporciona su PAN, ya sea insertando la tarjeta en un terminal, tocándola en un lector contactless, tecleándola en una web o introduciéndola en el teclado del teléfono durante una llamada.
• El sistema de pagos del comercio captura el PAN y lo envía (cifrado) a la pasarela de pagos.
• La pasarela de pagos reenvía el PAN al banco adquirente, que lo enruta a través de la red de tarjetas (Visa, Mastercard, etc.) hasta el banco emisor.
• El banco emisor comprueba el PAN contra sus registros, verifica que la cuenta es válida y tiene fondos suficientes, y devuelve una decisión de autorización.
• El comercio recibe una aprobación o un rechazo y completa (o cancela) la transacción.

Cómo Proteger el PAN

PCI DSS contiene requisitos específicos sobre cómo debe manejarse el PAN en cada fase.

En Almacenamiento

Si un negocio necesita almacenar el PAN (para facturación recurrente, por ejemplo), debe volverse ilegible mediante cifrado, tokenización, truncamiento o hashing. Guardar simplemente un número de tarjeta en una hoja de cálculo o base de datos en texto plano es una infracción grave de PCI DSS y una brecha de datos esperando a ocurrir.

En Tránsito

Siempre que el PAN se transmita por una red —especialmente por una red pública como internet— debe cifrarse con protocolos criptográficos fuertes como TLS 1.2 o superior.

En Uso

El acceso al PAN completo debe limitarse a quienes tengan una necesidad de negocio legítima. Para la mayoría del personal, una versión truncada que muestre solo los últimos cuatro dígitos es suficiente a efectos de identificación.

El PAN y los Pagos Telefónicos

Los pagos telefónicos plantean retos particulares para la seguridad del PAN. Cuando un cliente dicta el número de su tarjeta a un agente, el PAN viaja por el canal de voz en claro. El agente lo oye, la grabación de la llamada lo captura y el agente puede verlo en su pantalla mientras lo teclea en un terminal virtual. Cada uno de esos puntos de exposición arrastra sistemas al alcance de PCI DSS.

La tecnología de enmascaramiento DTMF lo aborda permitiendo al cliente introducir su PAN en el teclado del teléfono en lugar de decirlo en voz alta. Los tonos del teclado se enmascaran o suprimen antes de llegar al agente, y los dígitos se enrutan directamente al procesador de pagos. El agente nunca oye, ve ni maneja el PAN, y las grabaciones de llamada no contienen rastro de él.

Este enfoque es una de las formas más eficaces de proteger el PAN en entornos de pago telefónico manteniendo una experiencia de cliente fluida y una llamada con su ritmo natural.

Enmascaramiento y Truncamiento del PAN

Verás a menudo números de tarjeta mostrados como «XXXX XXXX XXXX 1234» en recibos, extractos y paneles de comercio. Eso se llama enmascaramiento o truncamiento: mostrar solo los últimos cuatro dígitos y ocultar el resto. PCI DSS permite mostrar los primeros seis y los últimos cuatro dígitos, pero la mayoría de las organizaciones muestran aún menos para minimizar el riesgo.

El enmascaramiento no es lo mismo que el cifrado o la tokenización. Solo significa ocultar parte del PAN de la vista. El número completo puede seguir existiendo en el sistema subyacente, así que el enmascaramiento por sí solo no elimina las obligaciones de PCI DSS: solo reduce la exposición visual.