SIHOT.PCI

“Tarjetas de crédito y seguridad de datos”

Seguridad de datos

Compatibilidad PCI-PA-DSS

«PCI Compliance» es una palabra clave importante.  Implica el cumplimiento de las normas de seguridad globales de la mayor empresa de tarjetas de crédito a nivel mundial.  PCI-PA-DSS significan «Payment Card Industry (PCI) Payment Application (PA) Data Security Standard (DSS)». Se trata de un reglamento con instrucciones concretas para distribuidores y comerciantes que trabajan con tarjetas de crédito o que procesan tarjetas de crédito. Lo primordial es la seguridad de los datos de los clientes y poder evitar con ello el robo y fraudes con las tarjetas de crédito.

El cumplimiento de los estándares no es solo importante para los clientes, sino que también es importante por motivos económicos: A las empresas que guardan datos de tarjetas de crédito se les pueden imponer sanciones. Los requisitos sobre el estándar de la seguridad de los datos se establecen en doce requisitos de PCI-PA-DSS con sus correspondientes subcriterios.

 Repercusiones en SIHOT

De los doce requisitos de PCI-PA-DSS, cinco tienen una repercusión directa en SIHOT. Estos son:

  • Requisito 3: Protección de los datos de titulares de tarjetas
  • Requisito 4: Codificación en la transferencia de datos de titulares de tarjeta a través de redes abiertas y públicas
  • Requisito 7: Limitación del acceso a los datos de titulares de tarjetas de crédito según la necesidad de información comercial
  • Requisito 8: Asignación de una ID clara para cada persona con acceso a ordenador
  • Requisito 9: Limitación del acceso físico a datos del titular de la tarjeta

Protección de los datos de titulares de tarjetas

La protección de los datos de tarjetas significa, por un lado, que los datos de tarjetas deben guardarse de la forma más abreviada posible y que los accesos deben ser lo más restrictivos posible. Por otro lado, los datos almacenados siempre deben guardarse de forma cifrada. En SIHOT.PMS se almacenarán los números de tarjeta de crédito y las fechas de validez para la duración de una transacción (empezando por la reserva y hasta la facturación). No se guardará el número CVC. Al finalizar la transacción se eliminarán los datos.

La memorización de los datos durante la duración de una transacción se realiza en el banco de datos, por medio de la codificación con un algoritmo AES. En ninguna zona del sistema se dará un número de tarjeta de crédito completo.

Transferencia de datos  

SIHOT.PMS no realizará ninguna transferencia de datos confidenciales de titulares de tarjetas de crédito a través de redes públicas. Para la autorización previa o el pago online, SIHOT.PMS aporta los datos necesarios dentro de la red local o del mismo servidor (dependiendo del proveedor) al proveedor de pagos electrónicos, que debe garantizar la codificación de los datos confidenciales de los titulares de tarjetas según el estándar PCI en la transferencia a través de redes públicas.

Derechos de acceso

El acceso a los datos de titulares de tarjetas de crédito se gestionará en SIHOT.PMS según la gestión de derechos de usuario. Para llevar a cabo el registro en SIHOT.PMS, cada usuario debe introducir un nombre de usuario y una contraseña.  Las contraseñas están sometidas a estrictas normas sobre la longitud mínima, la validez y otros factores de seguridad.

SIHOT.PCI