Conheça as recomendações do PCI para proteger os dados dos cartões no novo cenário de uso do BIN de 8 dígitos para identificar os emissores

Em 2017, a ISO  alterou a norma ISO/IEC 7812 e ampliou o código de identificação dos emissores (IIN – também conhecido como BIN) de 6 para 8 dígitos. Esta alteração foi necessária para suportar o aumento de range de emissores de cartões em todo o mundo.

Desde então, as marcas de pagamento como Mastercard e Visa estão trabalhando para preparar as suas operações para este novo formato de identificação dos membros participantes de seus sistemas de pagamentos.

Para minimizar os impactos das mudanças em todo o ecossistema, Mastercard e Visa tomaram algumas decisões muitos importantes. Entre elas:

  • Manter em 16 a quantidade de dígitos de um número de cartão
  • Estabelecer um prazo para que os participantes do sistema (emissores, credenciadoras, estabelecimentos comerciais, processadores e provedores de soluções) se preparassem para as mudanças
  • Publicar orientações para a preparação dos membros para este novo cenário

A proteção dos dados dos cartões de pagamento é uma premissa chave para para o PCI em sua missão. Entre as várias diretrizes produzidas, o PCI definiu orientações para a proteção dos dados do cartão, que integram os requerimentos 3.3 e 3.4 do “PCI DSS Requirements

Nos posts publicados, o PCI apresenta o efeito dos BINs de 8 dígitos nos formatos de criptografia, mascaramento e truncagem dos números de cartão e como os múltiplos formatos de proteção podem afetar a delimitação do âmbito e os requisitos de segurança.

Já foram publicados sos seguintes FAQs:

  •  #1091 – Quais são os formatos aceitos para a truncagem do número do cartão (PAN)?
  •  #1146 – Quais são as diferenças entre mascaramento e truncagem?
  •  #1492 – Como a entidade pode cumprir os requisitos do PCI DSS para mascaramento e truncagem do PAN?

Explorando um pouco mais os requisitos de proteção do número do cartão

Requisito 3.3

O requisito 3.3 diz respeito à ocultação de dígitos do PAN para que o PAN completo não seja exibido

Ele determina que não sejam exibidos mais do que os primeiros seis e/ou últimos quatro dígitos do PAN em telas de dipositivos, relatórios, etc., a menos que haja uma justificação comercial documentada para revelar mais dígitos

 

Requisito 3.4

O requisito 3.4 diz respeito a tornar o PAN ilegível quando armazenado

Se aplica quando o PAN é armazenado ( dados em repouso). Este requisito especifica quatro métodos aceitáveis para tornar o PAN ilegível quando armazenado.  Uma das técnicas é a truncagem, que remove permanentemente os dígitos médios do PAN, deixando o resto do PAN a ser armazenado no espaço livre

FPE

Mascaramento

O mascaramento é um método de ocultação de números do PAN utilizando caracteres para substituir números.

Exemplos comuns:

999 99** **** 9999

9999 99XX XXXX 9999

É importante destacar que mesmo que um PAN seja mascarado quando exibido, o PAN completo pode ainda ser armazenado eletronicamente e necessitaria ser protegido

Truncagem

A truncagem remove permanentemente os dígitos do miolo do PAN, usando o restante do PAN para armazenamento.

Os formatos aceitáveis de truncagem variam de acordo com o comprimento do PAN e os requisitos da Bandeira de pagamento.

Um máximo dos primeiros 6 e últimos 4 dígitos do PAN é o ponto de partida para as entidades reterem após a truncagem, tendo em conta as necessidades e objetivos comerciais para os quais o PAN é utilizado.

Uma vez aplicada a truncagem, não é possível voltar ao número original do PAN e nestas condições, um mesmo resultado de truncagem pode ser equivalente a mais de um número de cartão

Criptografia

A criptografia permite substituir parte do PAN ou a sua totalidade por um código gerado por meio de um processo criptográfico.

O NIST publicou o boletim “NIST 800-38G – Recommendation for Block Cipher Modes of Operation”, especificando dois métodos de de criptografia de preservação de formatos.

A vantagem do uso da criptografia FPE é a geração de um número do cartão que atende aos requisitos de formação de um PAN mas que não corresponde ao valor do PAN real.

Por este motivo, a criptografia FPE é uma importante alternativa para a proteção do número do cartão durante o armazenamento (dados em repouso), o processamento (dados em uso) e a transmissão ( dados em trânsito).

Criptografia e LGPD

Aproveitando a oportunidade de discutir sobre proteção dos dados do cartão, vale a pena considerar que sob a ótica da LGPD, várias informações passaram a ser consideradas sensíveis, como o CPF, data de nascimento, endereço etc.

Os métodos de criptografia FPE podem ser aplicados a uma infinidade de dados, utilizando máscaras específicas de criptografia para preservar a estrutura dos dados.

Este é um recurso que pode ser aplicado nos dados em repouso, como cadastros e séries históricas que por exigências legais devem ser preservadas por longos períodos e também para bases de dados que serão processadas em plataformas analíticas ou de Machine Learning.

Em resumo, a mesma metodologia de proteção de dados pode ser utilizada como um padrão em toda a organização, utilizando em cada caso um conjunto específico de chaves criptográficas.

Rolar para o topo