Blog | Delete Technology

Cumplimiento de la Norma PCI DSS en el sector de telecomunicaciones

Escrito por Marcos Flores Miranda | Aug 19, 2024 11:00:00 AM

Las telecomunicaciones son el eje del mundo digital: conectan personas, servicios, bancos, dispositivos y plataformas de todo tipo. Pero esa capacidad de conexión también conlleva una gran responsabilidad. 

Las empresas telco no solo transportan datos: los recogen, almacenan, procesan y en ocasiones los destruyen, incluyendo datos de tarjetas de pago.

Por eso, la norma PCI DSS (Payment Card Industry Data Security Standard) se ha vuelto un estándar imprescindible en el sector. No solo porque es exigida por las marcas de tarjetas, sino porque representa una barrera crítica contra el fraude, el robo de identidad y las filtraciones masivas.

¿Qué es la normativa PCI DSS y por qué es tan importante?

PCI DSS es un conjunto de estándares de seguridad creados en 2004 por el PCI Security Standards Council (Visa, Mastercard, American Express, Discover y JCB) para proteger los datos del titular de la tarjeta y evitar su uso indebido.

Su aplicación es obligatoria para cualquier organización que almacene, procese o transmita datos de tarjetas, y su cumplimiento es vigilado no sólo por las marcas, sino también por bancos, entidades reguladoras y auditores externos.

En el sector de telecomunicaciones, su relevancia ha crecido exponencialmente porque:

  • Los operadores manejan millones de transacciones mensuales.
  • Los clientes usan apps, portales, IVRs y call centers para pagar sus servicios.
  • Muchas telcos actúan como pasarelas de pago indirectas o integran servicios bancarios a través de alianzas fintech.

Esto las convierte en objetivos prioritarios para el cibercrimen y, a la vez, en entidades altamente reguladas.

¿Qué tipo de datos protege PCI DSS?

La norma establece controles para proteger dos grandes grupos de datos:

1. CHD (Cardholder Data)

Incluye:

  • Número de tarjeta (PAN)
  • Nombre del titular
  • Fecha de vencimiento
  • Código de seguridad (CVV)

Estos datos pueden almacenarse temporalmente, pero deben cifrarse y eliminarse de forma segura cuando ya no son necesarios. Aquí es donde entra la relevancia del borrado seguro y certificado como parte del cumplimiento técnico.

2. SAD (Sensitive Authentication Data)

Como:

  • Códigos de autorización
  • PINs
  • Datos de la banda magnética

Estos no pueden almacenarse bajo ninguna circunstancia después de la autorización de la transacción. Y si accidentalmente se almacenan (en registros, backups, temporales), deben ser borrados de manera irrecuperable, conforme a metodologías como NIST 800-88.

¿Cómo se aplica PCI DSS en telecomunicaciones?

Las telcos pueden no considerarse entidades financieras, pero en la práctica:

  • Capturan datos de tarjeta desde call centers, portales y apps móviles.
  • Procesan pagos de servicios recurrentes (pospago, domiciliaciones, recargas).
  • Almacenan información temporal en sistemas internos, logs, bases de datos y servidores cache.

Muchas empresas de telecomunicaciones:

  • Subcontratan servicios de almacenamiento en la nube, por lo que deben aplicar borrado seguro en entornos cloud.
  • Integran su infraestructura con sistemas bancarios o fintechs, lo que exige una trazabilidad perfecta del ciclo de vida de los datos de pago.

En todos estos casos, PCI DSS exige:

  • Cifrado de extremo a extremo.
  • Políticas de acceso restringido y controlado.
  • Trazabilidad de acciones y accesos (logs).
  • Eliminación segura y documentada de los datos cuando dejan de ser útiles.

¿Qué riesgos específicos enfrenta el sector telco?

  • Retención accidental de datos en servidores legacy, backups o entornos virtuales.
  • Errores humanos: empleados que copian o registran información sensible por fuera del sistema.
  • Desmantelamiento inadecuado de discos o servidores obsoletos.
  • Ataques a APIs o apps móviles mal configuradas.
  • Shadow IT: entornos o dispositivos no gestionados que contienen datos residuales.

Por eso es fundamental implementar prácticas como el borrado criptográfico, la sanitización automatizada y políticas de retención de datos adaptadas al sector.

¿Cómo ayuda el borrado seguro al cumplimiento PCI DSS?

En muchos casos, las auditorías de PCI DSS fallan no por almacenamiento activo, sino por almacenamiento pasivo no controlado: bases antiguas, logs de testeo, backups olvidados, imágenes de disco, discos externos, entornos de desarrollo…

Implementar borrado seguro y certificado:

  • Garantiza que los datos eliminados no puedan recuperarse.
  • Reduce el riesgo legal y financiero ante una auditoría.
  • Ayuda a cumplir con el principio de “retención mínima” del GDPR y otras leyes de protección de datos.
  • Aporta evidencia documental en auditorías y procesos de certificación.

Además, puede aplicarse a nivel:

  • Físico: borrado de discos duros, SSDs, tarjetas SD o servidores en desuso.
  • Lógico: eliminación segura de archivos, particiones, máquinas virtuales.
  • En la nube: mediante herramientas que aseguran que las réplicas se destruyan en todas las ubicaciones.

¿Qué herramientas y estándares puede usar una telco?

  • Norma NIST 800-88 para borrado lógico seguro.
  • Estándar IEEE P2883 para borrado ecológico y verificado.
  • Software certificado como Blancco para entornos automatizados.
  • Auditorías conforme al Esquema Nacional de Seguridad.

¿Qué pasa si no se cumple con PCI DSS?

Consecuencias típicas para telcos que no cumplen:

  • Multas de entre $5,000 y $100,000 mensuales.
  • Pérdida de contrato con bancos adquirentes.
  • Sanciones regulatorias por incumplimiento de protección de datos.
  • Costes derivados de incidentes (investigación, indemnizaciones, PR).
  • Daños reputacionales difíciles de revertir.

Preguntas frecuentes

¿Borrar archivos en el sistema operativo es suficiente?

No. Solo el borrado seguro —como el que promueve NIST 800-88 o IEEE P2883— asegura que los datos no sean recuperables, ni siquiera con software forense.

¿Qué documentos exige una auditoría PCI DSS?

Evidencia de eliminación segura, registros de acceso, logs, informes de escaneo y política de retención/destrucción.

¿Puede aplicarse borrado seguro a sistemas virtualizados?

Sí. Muchas herramientas permiten borrar VMs, snapshots o volúmenes persistentes en entornos como VMware, AWS, Azure, etc.

¿Debo aplicar borrado seguro aunque los datos estén cifrados?

Sí. El cifrado protege mientras los datos existen, pero no evita que se conserven más tiempo del necesario o que queden expuestos si se pierde la clave.

En Delete Technology contamos con soluciones tecnológicas y servicios que facilitan el borrado seguro y certificado de información. Ponte en contacto con nosotros si tu industria requiere de nuestra experiencia. 

Síguenos en nuestras redes sociales

 
Ver post completo