Datos de tarjeta de crédito en el simulacro de ICTs

[marodrig]

Os dejo una aclaración en relación con una duda planteada para el supuesto práctico que se resolvió en la sesión de Preparatic del 5 de abril sobre el que se puede encontrar la documentación en la sección "Material de las sesiones".

Duda planteada: Cómo categorizar los números de tarjetas de crédito. ¿El nivel de LOPD del número de tarjeta es bajo? Mirando la tipificación del RD 1720/2007 es posible clasificarlo así pero.... da miedo no protegerlo. En cualquier caso, teniendo en cuenta el ENS, ¿clasificaríamos la categoría de confidencialidad de un sistema que emplease números de tarjeta de crédito como alta porque puede producir un daño irreparable, (como que te roben el número y gasten tu dinero)?

----------------

Respuesta:

Supongo que al hablar del pago de una tasa se ha llegado a la conclusión de que el sistema va a almacenar números de tarjetas de crédito. En la solución propuesta para el simulacro no se ha enfocado así, sino que se ha recurrido a una pasarela de pagos externa al sistema. Por otra parte, la pasarela de pagos del organismo que sea tampoco creo que los almacene, y serán las entidades bancarias con las que tengan convenio los responsables de gestionar los pagos.

En la solución del sistema propuesto se habla de un NRC que es un número que sirve de comprobante de haber realizado el pago.

Si se quisiera desarrollar un sistema que almacena datos relacionados con medios de pago habría que considerar, al menos, tres normas:

- LOPD: Los números de tarjetas de crédito, por sí solos, no son datos identificativos de una persona física, pero se suelen recoger con otro conjunto de datos que sí lo son. Recomiendo leer el siguiente informe jurídico que lo clarifica todo.

http://www.agpd.es/portalwebAGPD/canald ... ientes.pdf

- ENS: categorizar la dimensión de confidencialidad como alta podría ser una opción, aunque tengo mis dudas. ¿Daños irreparables? ¿Podrías contratar un seguro de responsabilidad que cubriera posibles fraudes? Para un examen de oposición, creo que lo mejor es poner confidencialidad=ALTA.

- Normativa PCI-DSS (Payment Card Industry Data Security Standard) desarrollada por las principales compañías de tarjetas de crédito del mundo. Hay que cumplirla si te conviertes en custodio de datos de medios de pago y en este caso es más importante que las dos normas anteriores por las restricciones técnicas de seguridad que impone y por requisitos de auditoría. Las medidas de seguridad en los sistemas que cumplen PCI-DSS van orientadas a proteger el dato, independientemente de la seguridad perimetral y otras. Hay muchas soluciones de fabricantes de seguridad focalizadas en esta protección.

Consejo para el opositor. Si ves una tarjeta de crédito en el examen, que la almacenen otros (los bancos, que son los que saben hacerlo perfectamente).

[Maya]

Muchas gracias Miguel Ángel! Sobre todo el consejo del final

[v_b_v_madrid]

Muchas gracias por las aclaraciones!