• Las entidades bancarias manejan una de las formas de información más sensible y valiosa: datos financieros de personas, empresas y operaciones de alto nivel.

En la era de la digitalización, donde prácticamente toda la actividad bancaria se gestiona mediante tecnología, la seguridad de los datos almacenados en discos duros es fundamental. La eliminación inadecuada de estos discos duros, sin un proceso de borrado seguro, puede llevar a serios riesgos:

• Robo de información sensible: Los ciberdelincuentes pueden recuperar datos no eliminados adecuadamente de discos duros, obteniendo acceso a números de cuenta, información personal, o detalles financieros.
• Fraude financiero: Con la información recuperada, se pueden realizar fraudes financieros, blanqueo de dinero o suplantación de identidad.
• Filtraciones accidentales: Si los discos duros se venden o eliminan sin haber sido correctamente borrados, es posible que terceros accedan a la información.
• Sanciones regulatorias: El incumplimiento de normativas de protección de datos, como el Reglamento General de Protección de Datos (RGPD) y las leyes financieras internacionales, puede conllevar multas millonarias y pérdida de confianza por parte de los clientes.

Incumplimientos normativos. El sector bancario está sujeto a estrictas regulaciones que dictan cómo deben gestionarse los datos, tanto mientras están activos como durante su eliminación. Las normativas más importantes incluyen:

• Reglamento General de Protección de Datos (RGPD): Obliga a las organizaciones a proteger los datos personales y a garantizar que, una vez finalizado su uso, se eliminen de forma segura.
• Directiva NIS2: Aunque está enfocada en ciberseguridad, refuerza la necesidad de gestionar de forma segura todos los sistemas críticos, lo que incluye la eliminación de datos en las entidades financieras.
• Esquema Nacional de Seguridad (ENS): En España, establece los requisitos de seguridad para garantizar la protección de la información, incluyendo la necesidad de borrado seguro.
• Ley de Seguridad Privada. Las entidades bancarias deben garantizar que las imágenes sean borradas en un plazo máximo de 15 días (salvo en caso de investigaciones), asegurando que el proceso de eliminación sea definitivo y seguro, para evitar su recuperación y uso no autorizado.

La normativa PCI DSS establece que los datos confidenciales relacionados con tarjetas de pago deben ser borrados de manera segura cuando ya no se necesiten. Esto incluye tanto la eliminación lógica de datos en discos y medios electrónicos como la destrucción física de medios cuando sea necesario. El uso de soluciones certificadas, como Blancco, que emiten un certificado de borrado seguro, garantiza el cumplimiento de estos requisitos y protege a las organizaciones de sanciones por incumplimiento. El borrado seguro de estos datos al final de su ciclo de vida es crítico para evitar filtraciones, robo de información y sanciones regulatorias.

1. Eliminación Segura de Datos de Tarjetas de Pago

La PCI DSS prohíbe el almacenamiento no cifrado de información confidencial relacionada con tarjetas de pago. Esto incluye:

• Datos de autenticación sensibles como el código PIN, el código CVV2 o la banda magnética.
• Los bancos, procesadores de pagos y otras entidades deben asegurarse de que, cuando ya no se necesiten estos datos, sean eliminados de forma segura y permanente de sus sistemas.

2. Requisito 3: Retención y Eliminación de Datos

Este requisito establece que las organizaciones deben tener una política que defina:

• Cuánto tiempo deben conservarse los datos de los titulares de las tarjetas y cuándo deben eliminarse.
• Los datos de tarjetas de crédito no deben almacenarse más tiempo del necesario para cumplir con los requisitos legales, comerciales o contractuales.
• Si los datos de los titulares de las tarjetas ya no son necesarios, deben eliminarse de manera segura.

3. Requisito 9: Restricciones Físicas y Lógicas

El requisito 9 de PCI DSS se centra en la protección de los dispositivos y medios que contienen datos sensibles. Específicamente, incluye disposiciones para:

• Asegurar que los medios de almacenamiento de datos de titulares de tarjetas se destruyan de manera segura cuando ya no sean necesarios.
• Las organizaciones deben implementar controles para destruir los medios de almacenamiento, como discos duros y cintas, de forma que los datos no puedan recuperarse.

4. Requisito 3.7: Métodos de Destrucción Segura

Este apartado sugiere que las entidades utilicen algoritmos aprobados de borrado seguro para eliminar la información confidencial de los sistemas antes de desechar o reutilizar los discos y otros dispositivos de almacenamiento.

5. Auditoría y Pruebas de Borrado Seguro

PCI DSS también exige que las organizaciones que manejan datos de tarjetas de pago:

• Mantengan evidencia documentada del proceso de borrado seguro, ya sea mediante un software certificado o la destrucción física.
• Implementen políticas de auditoría y revisión periódica para verificar que los procedimientos de eliminación de datos se están cumpliendo adecuadamente.

El borrado seguro de discos duros en el sector bancario no es solo una buena práctica, sino una obligación legal y de seguridad. Los datos financieros son extremadamente sensibles, y cualquier filtración o acceso no autorizado puede generar graves consecuencias, tanto económicas como reputacionales.