¿Qué son los datos del titular de la tarjeta?

Los datos del titular de la tarjeta (CHD) son información sobre una tarjeta de pago protegida por el estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS). Esto incluye el número de cuenta principal (PAN) completo y, posiblemente, el nombre del titular de la tarjeta, la fecha de vencimiento y el código de servicio.

CHD es la información que está disponible tras completar la transacción, que incluye el nombre del titular de la tarjeta, la fecha de vencimiento de la tarjeta y el número de cuenta principal (PAN). 

La protección de los datos de tarjetas de crédito (CHD) es importante por varias razones. El cumplimiento por parte del cliente es crucial, ya que ayuda a mantener la confianza, a adherirse a las regulaciones y a evitar sanciones financieras. El cifrado y otras medidas de seguridad son cruciales para garantizar que los datos sensibles permanezcan seguros y reducir el posible daño de una violación de datos.

Las pérdidas financieras pueden ocurrir de varias maneras, incluyendo el robo de identidad y las compras fraudulentas. Limitar el acceso no autorizado a los datos sensibles de CHD es crucial, ya que puede minimizar el riesgo de posibles pérdidas financieras. Cualquier empresa que maneje datos de tarjetas de crédito debe mantener la confianza de sus clientes. La protección de CHD es crucial para que las empresas mantengan el cumplimiento y mejoren su credibilidad en cuanto a la seguridad de los datos.

La filtración de datos de titulares de tarjetas (CHD) puede tener un efecto significativo en los consumidores, las instituciones financieras y los minoristas. Las responsabilidades financieras, las multas significativas, las facturas legales, los costos de compensación, los daños a la reputación y la pérdida de la confianza del cliente son todos posibles resultados de las filtraciones.

Para reducir estos riesgos, es esencial el cumplimiento del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). El incumplimiento puede acarrear sanciones financieras adicionales y daños a la reputación. 

Los datos de autenticación confidenciales (SAD) y los datos del titular de la tarjeta (CHD) son dos categorías de datos que son cruciales para procesar pagos. CHD contiene datos como el número de cuenta principal (PAN), el nombre del titular de la tarjeta y la fecha de vencimiento de la tarjeta de pago que pueden conservarse después de la confirmación de una transacción.

Para autenticar a los titulares de tarjetas, SAD comprende componentes como el PIN, los datos de la banda magnética o el chip EMV y el código/valor de verificación de la tarjeta (CVC, CVV o CID). Debido a que CHD y SAD tienen diferentes requisitos de seguridad, es fundamental comprender sus diferencias. 

• Los comerciantes pueden guardar CHD, pero si lo hacen, debe estar encriptado. Sin embargo, incluso si SAD está encriptado, las empresas no pueden almacenarlo después de la autorización. 
• Los comerciantes pueden conservar CHD, ya que es menos sensible que SAD.
• Los comerciantes pueden rastrear las transacciones de los clientes mediante el uso de CHD.
• Los comerciantes no deben guardar SAD porque es más sensible que CHD.
• Los comerciantes no pueden rastrear las transacciones de los clientes con SAD. 

Todas las organizaciones que participan en transacciones con tarjeta, incluidos bancos, pasarelas de pago, comerciantes y proveedores de servicios, deben cumplir con PCI DSS. Esto se aplica a cualquier empresa, independientemente de su tamaño o volumen de transacciones, que procese, almacene o transmita información de tarjetas de crédito. 

Para garantizar la seguridad de los datos del titular de la tarjeta durante las transacciones y el almacenamiento, todas las organizaciones involucradas deben adherirse a este proceso. Los requisitos contractuales y las validaciones anuales de cumplimiento se especifican en los acuerdos de la red de tarjetas de crédito y son exigidos por las compañías de tarjetas de crédito. 

Los procesadores de terceros (TPSP) también deben seguir el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) en el procesamiento de tarjetas de pago. Las empresas SaaS deben gestionar y supervisar el cumplimiento de PCI DSS de sus TPSP al menos una vez cada 12 meses. 

Los TPSP deben demostrar su cumplimiento de PCI DSS a las organizaciones SaaS para verificarlo a través de un PCI DSS anual auditoría de cumplimiento o múltiples auditorías aleatorias del TPSP. Una empresa SaaS debe crear un plan para rastrear el estado de cumplimiento de PCI DSS de los TPSP anualmente y realizar un seguimiento de todos los requisitos de PCI DSS que son responsabilidad del TPSP. 

En última instancia, las organizaciones SaaS son responsables de su propio cumplimiento con PCI DSS. Deben asegurarse de que sus TPSP también cumplan, ya que afectan la seguridad del entorno de datos del titular de la tarjeta.

Sanciones financieras, daños a la reputación, pérdida de la confianza del cliente y pérdida de oportunidades comerciales son solo algunas de las graves repercusiones del incumplimiento de PCI DSS.

Además, las empresas que no cumplen corren el riesgo de sufrir repercusiones legales, mayores costos de transacción, estándares de auditoría más estrictos o la terminación de la asociación bancaria. En situaciones graves, el incumplimiento puede resultar en bancarrota.

Las compañías de tarjetas de pago pueden imponer multas a los bancos adquirentes, transfiriendo las sanciones a los comerciantes. En particular, el incumplimiento de PCI DSS puede resultar en multas de $5,000 a $100,000 por mes hasta que se logre el cumplimiento.

Los datos del titular de la tarjeta no pueden estar exentos de los requisitos de PCI DSS si el cifrado se usa solo. Los sistemas que gestionan encriptación El cifrado y descifrado están bajo la autoridad de PCI DSS, al igual que cualquier entorno que contenga datos de titulares de tarjetas, incluso si están cifrados. Sin embargo, los sistemas que gestionan el cifrado y descifrado entran dentro del alcance de PCI DSS, pero los datos cifrados de los titulares de tarjetas no. En entornos donde hay datos de titulares de tarjetas, el cifrado no invalida el requisito de PCI DSS.