Requisito 3: Proteger los datos almacenados de los propietarios de tarjetas

Los requisitos detallados en esta sección son relevantes para HCL Commerce. Revise cada punto minuciosamente.

Attention: Para eliminar de forma segura los archivos de base de datos antiguos (por ejemplo, de versiones anteriores de HCL Commerce) así como los archivos de claves antiguos y otros datos importantes, debe desarrollar una política de eliminación utilizando una o varias de las herramientas siguientes:

SRM: Utilice el parámetro -p 7 para especificar 7 pasos para la eliminación. SDelete implementa el estándar del Departamento de Defensa de borrado y limpieza DOD 5220.22-M, para que tenga la confianza de que una vez suprimido con SDelete, los datos de su archivo desaparecerán para siempre.

3.1 Mantenga el almacenamiento de los datos del titular de la tarjeta al mínimo implementando políticas de datos de conservación y eliminación de datos, procedimientos y procesos que incluyan lo siguiente, como mínimo, para el almacenamiento de los datos de titular de la tarjeta (CHD):

Limite la cantidad de almacenamiento de datos y el tiempo de conservación al que sea necesario para fines comerciales, legales y jurisdiccionales.
Procesos para la supresión segura de los datos, cuando éstos ya no sean necesarios.
Requisitos de retención específicos para los datos del titular de la tarjeta.
Un proceso trimestral para identificar y eliminar de forma segura los datos almacenados que superen la retención que se haya definido.

Con el administrador de la base de datos, puede diseñar una planificación para eliminar datos de pago antiguos con el programa de utilidad DBClean.

3.2 No guarde los datos de la autenticación confidencial después de la autorización (aunque estén cifrados). Si se reciben datos de autenticación confidenciales, represente todos los datos no recuperables tras la finalización del proceso de autorización.

Los datos de la autenticación confidencial incluyen los datos que se mencionan en los siguientes Requisitos 3.2.1 a 3.2.3:

3.2.1 No guarde el contenido completo de ninguna pista (procedente de la cinta de banda magnética situada en la parte posterior de una tarjeta, contenida en un chip u otro lugar). Estos datos se invocan como pista completa, pista1, pista2 y datos de la banda magnética.

HCL Commerce no utiliza ni da soporte, de forma predeterminada, a un dispositivo de lectura de tarjetas.

3.2.2 No guarde el código o el valor de verificación de tarjeta (número de tres o cuatro dígitos impreso delante o detrás de una tarjeta de pago) que se utiliza para verificar las transacciones sin presencia física de la tarjeta.

HCL Commerce almacena temporalmente el código de validación de tarjeta antes de la autorización de pago en las tablas ORDPAYINFO y PPCEXTDATA y a continuación, lo elimina de la base de datos una vez completada la autorización. Si permite la modificación de los datos de protocolo de instrucciones de pago existentes, asegúrese de haber aplicado el APAR JR50683, si está a nivel de Fixpack 8 o anteriores.

Si ha de cambiar este comportamiento, establezca neverPersist en true en el archivo PaymentSystemPluginMapping.xml. Esta opción captura los datos CVV y los envía para la autorización de pago en una única transacción. De esta forma, se elimina el paso para almacenar temporalmente los datos CVV en la base de datos.

La configuración de la opción neverPersist se describe en este tema:

Archivo XML PaymentSystemPluginMapping

Notes:

Recopile la autenticación confidencial cuando sea necesario para resolver un problema específico
Recopile estos datos únicamente en ubicaciones específicas conocidas con un acceso limitado
Recopile únicamente la cantidad limitada de datos necesaria para resolver un problema específico
Cifre los datos de la autenticación confidencial mientras están almacenados
Suprima de forma segura estos datos de forma inmediata después de su uso.
Es absolutamente necesario para el cumplimiento de la norma PCI que elimine los datos históricos almacenados en versiones anteriores de HCL Commerce. HCL Commerce utiliza una base de datos para el almacenamiento de información, por lo que debe utilizar una herramienta de eliminación segura (SDelete o SRM) para eliminar los archivos de la base de datos antigua.

3.2.3 No guarde el número de identificación personal (PIN) o el bloque de PIN cifrado.

HCL Commerce no guarda ni almacena números PIN.

3.3 Enmascare el PAN cuando se visualice (los seis primeros y los cuatro últimos dígitos son el número máximo de dígitos que se va a visualizar), de forma que solo el personal de una empresa legítima pueda ver el PAN completo.

Notes:

Este requisito no se aplica a los empleados ni a otras personas cuando una empresa legítima tenga que ver el PAN completo.
Este requisito no reemplaza a otros requisitos más estrictos vigentes para pantallas de datos del titular de la tarjeta, por ejemplo, para recibos de punto de venta (POS).

HCL Commerce enmascara números de cuenta cuando se visualizan en tiendas de inicio y en IBM Sales Center y la mayoría de paneles de HCL Commerce Accelerator. En algunos casos, el PAN aparece en texto claro para el personal administrativo autorizado. Si ha personalizado el escaparate, las herramientas administrativas o ambos, cerciórese de que cumplen el requisito.

De forma predeterminada, los 5 últimos dígitos del número de cuenta se muestran con texto sin formato en las tiendas de inicio. Para que sea compatible con PCI, debe reducirlo a 4 dígitos del número de cuenta como mínimo. Para cambiar este valor, abra Archivo XML PaymentSystemPluginMapping y cambie el valor del atributo plain en el elemento <Keyword name="account" name="account" de -5 a -4.

3.4 Reproduzca PAN ilegible en cualquier lugar en el que esté almacenado(incluso en el soporte digital portátil, el soporte de almacenamiento de seguridad, en registros) siguiendo uno de los métodos siguientes:

Hashes unidireccionales en criptografía compleja (el hash debe ser del PAN completo)
Truncamiento (el hash no se puede utilizar para sustituir el segmento truncado del PAN)
Señales y pads (los pads deben estar almacenados de forma segura)
Criptografía compleja con procesos y procedimientos de gestión de claves asociados.

Note: Se trata de un esfuerzo relativamente trivial, para un individuo malicioso, reconstruir los datos PAN original si tiene acceso tanto a la versión truncada como a la hash de un PAN. Donde las versiones truncada y de hash del mismo PAN estén presentes en un entorno de entidad, los controles adicionales deberían estar en vigor para poder garantizar que las versiones hash y truncada no puedan correlacionarse para reconstruir el PAN original.

HCL Commerce utiliza el algoritmo de cifrado AES de 128 bits para cifrar los datos del PAN en la base de datos.

Note: Asegúrese de que el distintivo PDIEncrypt esté establecido en On (está activado de forma predeterminada) en el archivo de configuración de HCL Commerce:

WAS_profiledir/installedApps/instance_name_cell/instance_name.ear/xml/config/wc-server.xml

3.4.1 Si se utiliza el cifrado de disco (en lugar del cifrado de base de datos a nivel de archivo o de columna), el acceso lógico debe gestionarse de forma separada e independiente de los mecanismos de autenticación y de control de acceso del sistema operativo nativo (por ejemplo, sin utilizar bases de datos de cuentas de usuarios locales o credenciales de inicio de sesión de red generales). Las claves de descifrado no deben estar asociadas con cuentas de usuario..

HCL Commerce no utiliza el cifrado de disco: la aplicación cifra los datos antes de que se almacenen en la base de datos.

3.5 Procedimientos de documentos e implementación para proteger las claves que se utilizan para proteger los datos del titular de la tarjeta almacenados frente a la divulgación y al uso indebido:

Note: Este requisito se aplica a las claves utilizadas para cifrar los datos del titular de la tarjeta almacenados, y también se aplica a las claves de cifrado de claves utilizadas para proteger las claves de cifrado, ya que las claves de cifrado de claves deben ser, como mínimo, tan fuertes como la clave de cifrado de datos.

El comerciante define la clave de cifrado cuando se crea la instancia.

Adicionalmente, cada instancia de HCL Commerce requiere una contraseña para que pueda descifrar los datos confidenciales que están almacenados en la base de datos. Por consiguiente, la protección de esta contraseña es de vital importancia para garantizar la seguridad de los datos de pago.

Note: Es absolutamente necesaria para el cumplimiento de la norma PCI que suprima de forma segura los archivos de claves antiguos utilizando una herramienta de eliminación segura (SDelete o SRM).

3.5.1 Restrinja el acceso de las claves criptográficas al menor número de guardianes necesario.

El comerciante es responsable de la limitación del número de guardianes.

3.5.2 Almacene claves privadas y secretas utilizadas para cifrar/descifrar los datos del titular de la tarjeta de una (o más) de las formas siguientes, en todo momento:

Cifradas con una clave de cifrado de claves que sea, como mínimo, tan fuerte como la clave de cifrado de datos, y que se almacene de forma separada respecto a la clave de cifrado de datos.
Dentro de un dispositivo de cifrado seguro (por ejemplo, un módulo de seguridad de host (HSM) o un dispositivo de punto de interacción aprobado por PTS)
Un mínimo de dos componentes de clave de longitud completa, o comparticiones de clave, de acuerdo con un método aceptado por la industria

Note: No es necesario que las claves públicas se almacenen en uno de estos formatos.

KLF (infraestructura de localizador de claves) puede configurarse para almacenar la clave de comerciante (que se utiliza para el cifrado de datos) en un archivo externo, o en alguna otra ubicación segura. También se puede especificar una clave de cifrado de claves para cifrar la clave de comerciante en su ubicación de almacenamiento. Cada archivo debe estar protegido con una protección del sistema de archivos, y cualquier otro medio se consideran necesario. Para obtener más información sobre KLF, consulte la sección 3.6.6.

3.5.3 Guarde las claves criptográficas en el menor número posible de ubicaciones.

El comerciante es responsable de guardar las claves criptográficas en el menor número posible de ubicaciones posible.

3.6 Documente de forma exhaustiva e implemente todos los procesos y procedimientos de gestión de claves para claves criptográficas que se emplean para el cifrado de los datos del titular de la tarjeta, entre ellos:

Note: Existen varios estándares de la industria para la gestión de llaves que están disponibles de varias fuentes, que incluyen NIST.

3.6.1 Generación de claves criptográficas complejas

HCL Commerce utiliza cifrado AES de 128 bits para cifrar los datos del PAN en la base de datos. La clave de cifrado la proporciona el cliente y consta de 32 caracteres hexadecimales. Esta clave de cifrado se conoce como clave de comerciante. Se recomienda muy especialmente que el comerciante proporcione una clave de comerciante compleja siguiendo estas directrices:

Un número hexadecimal de 16 dígitos
También se admite un número hexadecimal de 32 caracteres.
Al menos un carácter alfanumérico (a hasta f)
Al menos un carácter numérico (0 a 9)
No puede escribir el mismo carácter más de 4 veces seguidas

Con la ayuda de KLF (infraestructura de localizador de claves), la clave se puede guardar en un archivo. El archivo debe estar protegido con los permisos de archivo correctos. Se puede utilizar software de otras empresas, como por ejemplo TripWire, para supervisar los cambios en este archivo.

Para cumplir con el estándar, es necesario utilizar el plug-in WCExternalFileMerchantKeyImpl facilitado por KLF (infraestructura de localizador de claves). Este plug-in permite que la organización del comerciante reparta los conocimientos de la clave entre dos guardianes. Ningún guardián de clave individual conocerá la clave de comerciante completa. Los detalles se describen en el siguiente enlace:

Implementaciones de proveedores de clave para la clave del comerciante

El plug-in WCExternalFileMerchantKeyImpl también puede utilizar una Clave de cifrado de claves para cifrar la clave de comerciante. Aunque de forma predeterminada es un parámetro opcional, debe facilitar una clave de cifrado de claves para cumplir con los requisitos de PCI DSS. La clave de cifrado de claves es tan importante como la clave de comerciante. Cuando se especifica una clave de cifrado de claves, debe ser tan fuerte como la clave de cifrado. Además, se recomienda encarecidamente proporcionar una clave de cifrado de claves que siga las directrices siguientes:

Un número hexadecimal de 16 dígitos
También se admite un número hexadecimal de 32 caracteres.
Al menos un carácter alfanumérico (a hasta f)
Al menos un carácter numérico (0 a 9)
No puede escribir el mismo carácter más de 4 veces seguidas

3.6.2 Distribución de claves criptográficas seguras

HCL Commerce no distribuye sus claves seguras en un entorno que no esté en clúster. Para suministrar las claves entre los miembros de clúster en un entorno en clúster, dos administradores diferentes deben transferir la clave de comerciante y la clave de cifrado de claves utilizando un programa de transmisión seguro (como por ejemplo, SFTP) para mantener un control dual de las claves.

Important: No debe utilizar nunca una transmisión insegura como por ejemplo, ftp para transmitir material criptográfico u otros datos importantes.

3.6.3 Almacenamiento seguro de claves criptográficas

Configure KLF para que almacene la clave de comerciante (en formato cifrado) en un archivo externo. Especifique una clave de cifrado de claves en un archivo aparte, que se utiliza para cifrar la clave de comerciante. Cada archivo debe estar protegido con una protección del sistema de archivos. Para obtener más información sobre KLF, consulte la sección 3.6.6.

3.6.4 Los cambios de clave de cifrado de claves que hayan alcanzado el final de su periodo de cifrado (por ejemplo, después de que haya pasado un período de tiempo definido o después de que una clave determinada haya producido una cierta cantidad de texto cifrado), según lo que haya definido el proveedor de la aplicación asociada o el propietario de la clave, y en base a las directrices y los métodos recomendados (por ejemplo, Publicación Especial NIST 800-57).

Cuando las personas que conocen la clave abandonan la organización del sitio o bien si sospecha que una clave está en riesgo, HCL Commerce tiene un programa de utilidad que da soporte a cambios de clave. Para obtener más información, consulte Programa de utilidad MigrateEncryptedInfo

Puede utilizar un nuevo parámetro -interactive para indicar que cada mitad de la clave debe entrarla un administrador distinto. De este modo se mejora el requisito de división de conocimiento de clave.

3.6.5 Retiro o sustitución (por ejemplo, archivado, destrucción y/o revocación) de claves siempre y cuando se considere necesario cuando la integridad de la clave se haya debilitado (por ejemplo, la partida de un empleado que conocía un componente de clave de texto simple), o claves que se sospeche que estén en riesgo.

Note: Si es necesario mantener las claves de cifrado retiradas o sustituidas, estas claves deben archivarse de forma segura (por ejemplo, mediante una clave de cifrado de clave). Las claves de cifrado archivadas solo debe utilizarse para fines de descifrado/verificación.

La clave se sobrescribe si utiliza el programa de utilidad MigrateEncryptedInfo de acuerdo con la descripción de la sección 3.6.4.

Note: Utilice una herramienta de eliminación segura (SDelete o SRM) para eliminar material criptográfico antiguo o sospechoso.

3.6.6 Si se utilizan las operaciones de gestión de claves de cifrado de texto simple manuales, estas operaciones deben gestionarse utilizando el método de división de conocimiento y control dual de las claves.

Note: Algunos ejemplos de operaciones manuales de gestión de claves incluyen, pero no están limitados a: generación, transmisión, carga, almacenamiento y destrucción de claves.

Para cumplir con el estándar de seguridad de datos de la Industria de Tarjetas de Pago (PCI), se ha introducido una Infraestructura de Localizador de Claves (KLF) que permite que la clave de cifrado (por ejemplo, la clave de comerciante y la contraseña de la instancia Payments) se pueda almacenar y recuperar desde una ubicación configurable, como, por ejemplo, desde un dispositivo externo más seguro.

La Infraestructura de localizador de claves (KFL) proporciona la flexibilidad para definir varias claves de cifrado disponibles en el sistema, aunque se puede recuperar cada clave de cifrado de un proveedor diferente. Se han definido de forma predeterminada cuatro proveedores de claves de cifrado, dos para claves de comerciantes y dos para la contraseña de la instancia de Payments.

Para obtener más información, consulte KLF (Key Locator Framework)

Para conseguir el control dual de claves, la Clave de cifrado de claves se tiene que especificar y almacenar en un sistema de archivos distinto de la clave de comerciante. Ningún usuario individual puede acceder a ambos sistemas de archivos en los que están almacenados la clave de cifrado de claves y la clave de comerciante. A modo de ejemplo, una clave de cifrado de claves se almacena en un soporte de almacenamiento y el guardián del soporte de almacenamiento extraíble no dispone de acceso al sistema de archivos donde se almacena la clave de comerciante.

Important: Utilice los grupos de control de acceso al sistema operativo para proteger el acceso a los archivos de claves y al archivo de claves de cifrado de claves.

3.6.7 Medida de prevención ante la sustitución no autorizada de claves criptográficas

Para impedir la sustitución no autorizada de claves:

Asegúrese de que los dos archivos que ha utilizado para almacenar las claves con la Infraestructura de Localizador de claves (KLF) están protegidos con los permisos de archivos apropiados
Asegúrese de que los archivos de claves están supervisados por el sistema de supervisión de la integridad de archivos.

3.6.8 Requisitos para que los guardianes de claves criptográficas reconozcan formalmente que conocen y aceptan sus responsabilidades como guardianes de claves.

Si sospecha que una clave está en riesgo, debe cambiarla de acuerdo con la descripción de la sección 3.6.4.

3.7 Asegúrese de que las políticas de seguridad y los procedimientos operativos para proteger los datos del titular de la tarjeta almacenados estén documentados, se estén utilizando, y los conozcan todas las partes afectadas.

El comerciante es responsable de documentar y comunicar las política de seguridad y los procedimientos operativos a todas las partes que se vean afectadas.