pcitsp

A estas alturas, seguro que todos tenemos claro cómo implementar una plataforma de tokenización de manera adecuada [1], según los estándares emitidos por el PCI SSC y conocemos las ventajas de implementar la tokenización para reducir el alcance de un entorno de cumplimiento PCI DSS [2].

Lo que no tanta gente sabe es que existe una normativa del PCI SSC enfocada a los servicios de Tokenización de Pagos, llamada “Payment Card Industry Token Service Providers” (PCI TSP) [3]. En este artículo intentaremos poner en contexto dicho estándar, así como indicar las características más destacables del mismo.

Para situar dicho estándar, tenemos que comprender previamente la diferencia entre los tokens de adquiriencia, los tokens de emisión y los tokens de pago:

  • Token de adquiriencia: Tokens creado por una entidad adquiriente, un comercio o un proveedor de servicios asociado a un comercio, después de que el propietario de una tarjeta bancaria haya introducido en un sistema de pago sus datos de pago, como el PAN, así como otros datos asociados (PIN, CVV2, etc.). Dichos tokens no pueden ser utilizado para nuevas autorizaciones bancarias posteriormente, pero sí para pagos recurrentes. Además, dichos tokens son ampliamente utilizados para reducir el alcance (scope) de aplicación de un entorno PCI DSS. La guía del PCI SSC “Tokenization Guidelines info Suplement [1]” da indicaciones sobre cómo securizar los entornos de creación/gestión de dicho tipo de token.
  • Token de emisión: También conocidos como tarjetas virtuales, creados por las entidades emisoras para reducir el riesgo de captura de datos de tarjeta en ciertos escenarios. Dichos tokens lucen como si de datos de tarjetas bancarias reales se tratara, de manera que los comercios y las entidades adquirientes no tienen por qué saber que están tratando con un token, en vez de con datos de tarjetas bancarias reales.
  • Token de pago: Tokens implementados por un Token Service Provider (TSP) asociado al consorcio EMVCo [4], y que son entregados al propietario de una tarjeta. En el momento de la realización de una compra, el cliente entrega al comercio dicho token en lugar de su PAN, y la autorización bancaria se realiza sin que el comercio y la entidad adquiriente del mismo tengan acceso en ningún momento al PAN de su cliente.

Este último tipo de tokens serán los tratados a lo largo de éste artículo, ya que la PCI TSP aplica a TSP, que proporcionan servicios de Tokenización de Pagos a sus clientes.

Para entender el uso que se da a dichos servicios de tokenización, veamos un ejemplo práctico a continuación:

pcipts_example

Siguiendo el diagrama anterior, imaginemos que un cliente va a comprar a un comercio físico y en el momento de efectuar el pago, cede su token de pago al comercio en cuestión, a través de NFC con su terminal smartphone, donde tiene almacenado su token de pago. El comercio hace llegar el token a su entidad adquiriente a través de un TPV y dicha entidad adquiriente lo facilita a la red de pago, formada por las procesadoras de pago existentes en cada país.

La red de pago, a su vez, se comunica con el Token Service Provider (TSP) para mapear el token de pago, de manera que dicho proveedor le facilita el PAN asociado al mismo. Posteriormente, la red de pago hace llegar el PAN a la entidad emisora de la tarjeta, que autoriza la compra efectuada por el cliente. En el tráfico de retorno a la entidad adquiriente, así como al comercio final, no se incluye  el PAN en ningún momento.

Este mismo escenario es perfectamente aplicable en compras no presenciales, en las que el usuario introduzca su token de pago en un TPV Virtual de un ecommerce, ya que los token de pago se han diseñado para tener la misma longitud que un PAN y para cumplir con el algoritmo de Luhn, de manera que son compatibles con los TPV existentes en la actualidad.

Así pues, vemos que la utilización de los servicios de Tokenización de Pagos disminuye el riesgo de seguridad existente en una compra realizada con datos de una tarjeta real, en la que los datos PAN son procesados tanto por el comercio como por la entidad adquiriente del mismo. Recordemos que cuantos menos puntos de la cadena de realización de un pago procesen los datos PAN, menos posibilidad de corrupción de dichos datos tendremos.

Como hemos comentado anteriormente, para poder ofrecer dichos servicios, un TSP debe estar asociado al consorcio EMVCo [4], que está formado por las marcas de tarjetas bancarias Visa, MasterCard, JCB, American Express, Discover y China UnionPay, y que de entre otras muchas actividades se encarga de mantener el estándar EMV, de pago presencial a través de smartcards con chip integrado. Dicho consorcio ha desarrollado un framewok técnico para los TSP, llamado “EMV Payment Tokenisation Specification- Technical Framework” [5], que da detalles sobre cómo implementar los entornos de Tokenización de Pagos manera adecuada, y que dichos proveedores deben cumplir para poder asociarse al EMVCo.

Ahora que hemos situado los escenarios donde un proveedor proporciona un servicio de Tokenización de Pago (TSP), entra en escena la PCI TSP [3].

Dicho estándar aplica a los TSP, y está formado por los 8 requerimientos de seguridad comentados a continuación:

  1. Documentar y validar el entorno PCI DSS: Indica las medidas a aplicar para identificar claramente todo el entorno donde se almacenarán los datos de tarjeta utilizados en el servicio de tokenización, así como para garantizar que las medidas de segmentación entre dicho entorno y los entornos externos son las adecuadas.
  2. Securizar los sistemas y redes del TDE (Token Data Environment): Indica las medidas para definir y gestionar debidamente el TDE a nivel de networking, a través de ACL definidas en Firewalls u otros elementos de red. Además, también indica las medidas para proteger los sistemas que conformarán el entorno de tokenización (control de accesos administrativos, bastionado, parcheado de equipos, cifrado de conexiones, etc.).
  3. Gestionar y proteger las claves criptográficas: Como su nombre indica, dicho requerimiento trata sobre las medidas a aplicar para gestionar de manera adecuada las claves de cifrado utilizadas en la plataforma de tokenización, para el cifrado tanto de datos de tarjeta como de los propios tokens de pago en su almacenamiento y transmisión, siempre a través de dispositivos HSM. Todo el ciclo de vida de dichas claves debe ser estrictamente controlado y monitorizado, garantizando la seguridad en cada una de las fases del mismo.
  4.  Restringir el acceso al TDE según la necesidad de conocer: Dicho requerimiento trata las medidas a aplicar para gestionar de manera correcta los roles y accesos a la plataforma de tokenización, de manera que solo el personal autorizado para tal efecto pueda acceder a los elementos que la conforman.
  5. Identificar y autenticar los accesos al TDE: Se deberá identificar y autenticar a los usuarios en todos los accesos al entorno de tokenización, de manera que se garantice que solo los usuarios autorizados tengan acceso al misma. Además, la política de contraseñas existente en la plataforma deberá garantizar una correcta seguridad de las mismas en su generación y tratamiento.
  6. Restringir el acceso físico al TDE: Se deberá proteger de manera adecuada el entorno físico que hospede a la plataforma de tokenización, con medidas como circuitos CCTV, muros de hormigón o de metal, puntos de acceso únicos para las instalaciones, controles de acceso internos efectivos, como lectores de tarjeta o cerraduras, sensores conectados a alarmas de presencia, sensores multi-factor para el acceso a CPD’s, etc. Dicho requerimiento también indica cómo gestionar de manera adecuada el ciclo de vida de los medios físicos existentes en el entorno.
  7. Monitorizar los accesos al TDE: Indica las medidas para monitorizar y correlacionar los registros de auditoría de las diferentes tecnologías existentes en el TDE, de manera que los eventos no autorizados sean detectadas a tiempo, para su investigación y resolución pertinente.
  8.  Mantener políticas de seguridad de la información: Se indican las medidas para definir y mantener una política de seguridad de la información en el entorno. Además, se debe garantizar que el TSP tiene implementado un correcto programa de cumplimiento del estándar PCI DSS. Este último punto es importante, ya que como vemos, aparte de la PCI TSP, dichos proveedores también estarán sujetos al cumplimiento del estándar PCI DSS, como cualquier entorno donde se almacenen, procesen o transmitan datos de tarjetas de pago.

Por último, es importante destacar que los TSP deberán superar una auditoría onsite oficial del estándar PCI TSP, si las marcas de tarjetas de pago o las entidades adquirientes se lo solicitan expresamente, y que dicha auditoría deberá llevada a cabo por parte de un QSA (P2PE). El QSA deberá rellenar un RoC (Report on Compliance) y un AoC (Attestation of Compliance) como finalización de la auditoría, cuyas plantillas se encuentran disponibles en la web oficial del PCI SCC [6].

Referencias

[1] https://www.pcisecuritystandards.org/documents/Tokenization_Guidelines_Info_Supplement.pdf

[2] http://www.isecauditors.com/sites/default/files//files/RedSeguridad_49_Tokenizacion.pdf

[3] https://www.pcisecuritystandards.org/documents/PCI_TSP_Requirements_v1.pdf

[4] https://www.emvco.com/

[5] https://www.emvco.com/specifications.aspx?id=263

[6] https://www.pcisecuritystandards.org/document_library