Descubrimiento de datos de tarjeta · PCI DSS Req. 3

Encuentra el PAN en claro
antes que ellos.

ScanPAN rastrea números de tarjeta y pistas de banda magnética guardados sin cifrar en tus equipos y servidores — miles de estaciones, un solo barrido, con los hallazgos cifrados de extremo a extremo.

~2000 equipos por barrido 415 BIN emisores del Perú AES-256-GCM + RSA
El punto ciego

El dato de tarjeta no siempre está donde crees. Vive en exports olvidados, logs de servicios, backups y hojas de cálculo.

El Requisito 3 de PCI DSS exige saber dónde reside el PAN para poder protegerlo o eliminarlo. Pero un log en texto plano de 2016 replicado en cuatro carpetas de backup no aparece en ningún inventario — hasta que alguien lo escanea. O hasta que alguien más lo encuentra primero.

  • \\SRVDATA\Backup\2017\srvTarjeta\TarjLog.txt1 842 PAN
  • C:\Users\caja07\Desktop\ventas_dic.csv96 PAN
  • D:\export\conciliacion_2019.xlsx418 PAN
  • C:\nc\pago_lote.txt729 PAN
  • \\FILES\rrhh\anexos\adjunto.pdf12 PAN
Cómo funciona

Cuatro pasos, de mil equipos a un solo Excel.

Se despliega como una carpeta portable con su propio Java. No instala nada, no deja rastro persistente.

01

Desplegar

Copia la carpeta a cada equipo por GPO, SCCM, PsExec o USB. Trae su Java embebido: corre en cualquier Windows.

02

Escanear

Recorre discos leyendo el contenido de archivos, con prioridad baja y throttle para no molestar al usuario.

03

Cifrar

Valida cada candidato con Luhn + BIN y cifra los hallazgos al vuelo. Lo que sale del equipo ya va ilegible.

04

Consolidar

Recolectas los cifrados y el desencriptador arma reportes Excel con el PAN enmascarado, listos como evidencia.

Qué detecta

Lee lo que otros escáneres no abren.

No se limita al texto plano: entra a documentos ofimáticos modernos y antiguos, y a PDFs — incluso con fuentes incrustadas, donde un extractor casero fallaría.

Texto plano

.txt .csv .log .sql .xml .html · dumps de BD

Office moderno

.docx .xlsx .pptx · .odt .ods .odp

Office antiguo

.xls .doc .ppt · binario OLE

PDF

texto con fuentes subset / CID incrustadas
Seguridad por diseño

El escáner cifra, pero nunca puede leer.

La clave pública viaja en el escáner y solo cifra. La privada vive únicamente en tu desencriptador. Los hallazgos pueden cruzar la red sin exponer un solo dígito.

Cifrado híbrido

AES-256-GCM por hallazgo, sellado con RSA. Rápido y con integridad autenticada.

Clave por cliente

Cada entrega lleva su propio par de claves. El desencriptador de un cliente jamás abre los datos de otro.

Enmascarado PCI

Los reportes de evidencia muestran el PAN truncado (Req. 3.4). El dato completo no sale del entorno controlado.

Reanudable

Con checkpoint: si el equipo se apaga a media tarea, el barrido retoma donde quedó — sin perder hallazgos.

Sin instalación

Java embebido, carpeta portable. Cero dependencias en el equipo, cero huella persistente.

Discreto con el EDR

Lee carga de CPU vía JMX, sin tocar teclado ni mouse: no dispara heurísticas de spyware.

clave pública → cifra en el equipo .csv.enc cruza la red ilegible clave privada → descifra solo en tu PC
Cumplimiento

Evidencia directa para el Requisito 3.

ScanPAN produce el inventario de dónde reside el PAN — el insumo que todo QSA pide y que la mayoría de organizaciones no puede mostrar. Barre por ciclo trimestral y mantiene el hallazgo trazable por equipo, archivo y emisor.

3.1 / 3.2Minimizar y localizar el PAN almacenadoDescubre dónde hay dato de tarjeta en claro para eliminarlo o justificarlo.
3.3 / 3.4Enmascarar al mostrarLos reportes de evidencia truncan el PAN; el completo queda en el CDE.
3.5Proteger el PAN almacenadoHallazgos cifrados de extremo a extremo, con clave por cliente.
12.5Mantener el inventarioBarridos periódicos para sostener el alcance del CDE en el tiempo.
Descubre · Cifra · Cumple

Sabe dónde está tu PAN antes de tu próxima auditoría.

Coordina una demostración de ScanPAN sobre tu entorno. Te mostramos un barrido real, cifrado y trazable, de principio a fin.