Captura

Uno de los controles establecidos por el estándar PCI DSS para la protección de los datos de tarjeta de pago durante el almacenamiento (req. 3) y la transmisión (req. 4) es la encriptación, ya sea empleando algoritmos simétricos (la misma clave se usa para encriptar y desencriptar) o asimétricos (se usa una clave pública y una clave privada).

De acuerdo con está lógica, se tienen tres componentes principales:

  1. El texto en claro
  2. La clave de encriptación
  3. El texto encriptado

Para el proceso de encriptado se requieren los componentes 1 y 2 y para el proceso de desencriptado se requieren los componentes 2 y 3.  En ambos procesos, el elemento indispensable es la clave de encriptación. Es por ello que sobre ese componente recae la seguridad del criptosistema, conforme con lo descrito en el principio de Kerckhoffs.

Siguiendo dicho criterio, si un potencial atacante tiene acceso al texto encriptado y quisiera obtener el texto en claro o la clave, tendría que efectuar un ataque conocido como “Ciphertext-only attack“, uno de los ataques de criptoanálisis más complejos y difíciles de realizar.

image185

Por ello, cuando se implementa PCI DSS es tan importante escoger un algoritmo robusto (req. 3.4) y gestionar de forma correcta el ciclo de vida de las claves de cifrado (req. 3.5 y 3.6).

¿Cómo minimizar el ámbito de PCI DSS empleando la encriptación de datos?

Tal como se explicaba anteriormente, si una organización posee dentro de su entorno de PCI DSS (CDE – Cardholder Data Environment) el texto encriptado y la clave de cifrado, la obtención del texto en claro es trivial y todo el entorno debe cumplir con PCI DSS.

No obstante, si una organización tiene en su poder el texto encriptado pero no la clave, dicho texto encriptado se puede considerar fuera del alcance de cumplimiento. Para que esta premisa sea válida, se deben cumplir las siguientes condiciones:

  1. La organización que tiene el texto encriptado no debe tener acceso bajo ninguna circunstancia a la clave de cifrado y/o al texto en claro.
  2. Cualquier dispositivo que efectúe procesos de encriptación/desencriptación y/o gestión de la clave de encriptación debe estar dentro del alcance de cumplimiento de PCI DSS.
  3. Si la organización delega en un tercero la gestión de la encriptación y las claves, dicho tercero debe implementar los controles de PCI DSS (o del estándar del PCI SSC que le apliquen).

Obviamente, la validación de estos supuestos recae en un asesor QSA de PCI DSS.

encriptacion

Ejemplos de implementación de minimización de entorno empleando encriptación

Algunos ejemplos en los cuales este modelo se podría implementar son los siguientes:

  • Una organización que delega la gestión de claves y los procesos de encriptación de los datos de tarjeta de pago capturados en sus TPV a un tercero:  Este es el modelo descrito en el estándar P2PE. La organización transmitiría a través de sus canales el texto cifrado, pero las claves almacenadas en los TPV homologados por PCI PTS y los procesos de encriptación/desencriptación estarían bajo la responsabilidad de una empresa homologada en PCI P2PE. La organización únicamente tendría que rellenar el SAQ P2PE siempre y cuando no tenga acceso bajo ningún criterio a las claves de encriptación ni al texto en claro.
  • Una organización que delega el almacenamiento de sus datos encriptados en un tercero que no tiene la clave de encriptación: Este modelo es válido para entornos de computación en la nube (cloud) en el cual la organización copia los datos encriptados en la nube, pero mantiene bajo su control la clave y los procesos de encriptación y desencriptación. Bajo este modelo, el proveedor de cloud estaría fuera del alcance de cumplimiento siempre y cuando no tenga acceso bajo ningún criterio a las claves de encriptación ni al texto en claro.
  • Una organización que respalda sus datos encriptados en cintas o en medios de almacenamiento externos que son almacenados en las instalaciones de un tercero: En este modelo, el tercero que almacena físicamente los medios que contienen los datos cifrados se encontraría fuera del alcance siempre y cuando no tenga acceso bajo ningún criterio a las claves de encriptación ni al texto en claro.

Para mayor información, revisar la FAQ 1086 de PCI DSS.