¿Qué es el Alcance de PCI DSS?

¿Qué es el Alcance de PCI DSS?

El alcance de PCI DSS se refiere al conjunto de sistemas, personas, procesos y tecnologías que caen bajo los requisitos del Payment Card Industry Data Security Standard. En términos sencillos, si algo toca, procesa, almacena o transmite datos del titular de la tarjeta —o podría afectar a la seguridad de los sistemas que lo hacen— está "dentro del alcance" de PCI DSS y debe cumplir los requisitos del estándar.

Acertar con el alcance es uno de los aspectos más importantes y peor entendidos del cumplimiento de PCI DSS. Si lo define demasiado restringido, deja fuera sistemas que deberían asegurarse, dejando huecos que pueden llevar a una brecha. Si lo define demasiado amplio, acaba intentando aplicar controles PCI a sistemas que no los necesitan, malgastando tiempo y dinero.

Cómo se determina el alcance de PCI DSS

El PCI Security Standards Council ofrece orientación sobre el alcance, pero el principio básico es directo: cualquier cosa que pueda impactar en la seguridad de los datos del titular de la tarjeta está dentro del alcance.

Los sistemas se dividen en tres categorías:

Categoría 1: sistemas que manejan datos de tarjeta directamente

Son los sistemas que almacenan, procesan o transmiten datos del titular de la tarjeta. Algunos ejemplos:

• Terminales de pago y sistemas de punto de venta
• Terminales virtuales en los que los agentes teclean los números de tarjeta
• Servidores de pasarelas de pago
• Bases de datos que almacenan información de tarjetas
• Sistemas de grabación de llamadas que capturan los datos de la tarjeta dichos durante las llamadas
• Estaciones de trabajo de los agentes en las que se introducen o se muestran los datos de la tarjeta

Categoría 2: sistemas que pueden afectar a la seguridad

Estos sistemas no manejan los datos de la tarjeta directamente, pero podrían comprometer a los que sí lo hacen. A veces se les llama sistemas "conectados" o "con impacto en la seguridad". Algunos ejemplos:

• Cortafuegos y routers que controlan el acceso al entorno de datos del titular de la tarjeta
• Servidores de autenticación (como Active Directory) que gestionan las credenciales de acceso
• Sistemas de logging y monitorización que rastrean la actividad en el entorno de pagos
• Switches de red que transportan tráfico entre sistemas dentro del alcance

Categoría 3: fuera de alcance

Los sistemas que no tienen conectividad con el entorno de datos del titular de la tarjeta y que no pueden afectar a su seguridad están fuera de alcance. Sin embargo, debe poder demostrar este aislamiento con claridad. Un sistema solo está fuera de alcance si realmente no tiene ningún camino —directo o indirecto— a los sistemas que manejan datos de tarjeta.

El reto del alcance en los centros de contacto

Los centros de contacto se enfrentan a retos de alcance especialmente complejos. Cuando un cliente facilita los datos de su tarjeta por teléfono, el alcance puede expandirse drásticamente:

• Estaciones de trabajo de los agentes: si los agentes oyen o teclean los datos de la tarjeta, sus ordenadores están dentro del alcance, incluyendo el sistema operativo, las aplicaciones y cualquier herramienta de grabación de pantalla
• Infraestructura de telefonía: el sistema telefónico, la PBX, los troncales SIP y cualquier infraestructura de voz sobre IP que transporte la llamada están dentro del alcance
• Grabación de llamadas: si los datos de la tarjeta se dicen durante una llamada, el sistema de grabación y todo el almacenamiento asociado están dentro del alcance
• La red: la LAN que conecta los escritorios de los agentes con los sistemas de pago y cualquier segmento de red que no esté correctamente segmentado del entorno de datos del titular de la tarjeta
• Locales físicos: el edificio, la planta o el área en la que los agentes manejan datos de tarjeta requiere controles de acceso físico

En un centro de contacto típico, esto significa que casi toda la infraestructura de TI y el entorno físico pueden acabar dentro del alcance, todo porque los datos de la tarjeta pasan por el canal de voz.

Reducir el alcance (descoping)

El descoping es el proceso de sacar sistemas del alcance de PCI DSS asegurando que nunca entren en contacto con los datos del titular de la tarjeta. Cuanto menos haya dentro del alcance, menos hay que asegurar, auditar y mantener, lo que se traduce directamente en menores costes de cumplimiento y menor riesgo.

Entre las estrategias habituales de descoping se encuentran:

Segmentación de red

Aislar el entorno de datos del titular de la tarjeta (CDE) del resto de la red mediante cortafuegos, VLANs y controles de acceso. Los sistemas al otro lado del límite de segmentación están fuera del alcance, siempre que la segmentación esté bien implementada y probada.

Tokenización

Sustituir los números reales de tarjeta por tokens: valores aleatorios sin significado explotable fuera del sistema de tokenización. Una vez tokenizados los datos de la tarjeta, los sistemas que solo manejan tokens están fuera del alcance porque nunca tocan datos reales de tarjeta.

Enmascaramiento de DTMF para pagos telefónicos

El enmascaramiento de DTMF saca por completo los datos de la tarjeta del canal de voz. Como los agentes nunca oyen los números de tarjeta y las grabaciones nunca los capturan, todo el entorno telefónico del centro de contacto —escritorios de los agentes, sistemas telefónicos, infraestructura de grabación y la red que los conecta— puede sacarse del alcance de PCI DSS.

Esta es una de las estrategias de descoping más eficaces que existen para cualquier negocio que acepte pagos telefónicos, porque aborda el rango más amplio de sistemas dentro del alcance en un solo paso.

Cifrado punto a punto (P2PE)

Para los pagos en tienda, las soluciones P2PE validadas cifran los datos de la tarjeta en el punto de interacción (el lector de tarjetas) y los mantienen cifrados hasta que llegan al procesador de pagos. Los sistemas entre esos dos puntos solo manejan datos cifrados y están fuera del alcance.

Por qué importa el alcance

El tamaño de su alcance de PCI DSS determina directamente el coste y la complejidad del cumplimiento. Más sistemas dentro del alcance significa más controles que implementar, más parches que gestionar, más logs que monitorizar, más escaneos de vulnerabilidades que ejecutar y más documentación que mantener. También significa una mayor superficie de ataque para potenciales brechas.

Las organizaciones que invierten en reducir el alcance desde el principio suelen comprobar que el cumplimiento se vuelve más sencillo, más barato y más sostenible. En lugar de intentar asegurar todo, concentran sus recursos en un entorno más pequeño y bien definido en el que los controles pueden gestionarse con rigor.