Este octubre de 2024 se celebró el evento «Europe Community Meeting» del PCI SSC en la preciosa ciudad de Barcelona (España). En este artículo te contamos los principales temas tratados, los cambios que se avecinan en términos de estándares de protección de datos de tarjetas y las experiencias de comerciantes y proveedores de servicio en la implementación de controles de seguridad en canales de pago.

Como ya es tradición, cada año el Payment Card Industry Security Standards Council (PCI SSC) celebra su Community Meeting en diferentes regiones del mundo. Este 2024 este evento tuvo lugar en Boston (USA), Barcelona (España) y Hanoi (Vietman) para las regiones de Norteamérica, Europa y Asia-Pacífico, respectivamente.
Para quienes no los conocéis, los Community Meetings (CM) del PCI SSC son un espacio abierto de discusión y encuentro entre proveedores de soluciones tecnológicas de seguridad, marcas de tarjetas de pago, empresas adquirientes, proveedores de servicio (TPSPs), comerciantes y – principalmente – empresas asesoras QSA (QSA Companies), en donde se analizan experiencias en la implementación y monitorización de controles de seguridad para la protección de datos de tarjetas de pago.
Entre octubre 8 al 10 de 2024 se realizó el PCI SSC Community Meeting europeo en Barcelona con casi 600 participantes, decenas de patrocinadores y ponentes de alto nivel, en donde se anunciaron algunas novedades en los estándares, se analizaron las nuevas tendencias en el mercado de medios de pago y se compartieron experiencias en la implementación de los controles de la nueva versión de PCI DSS (v4.0.1). Algunos de los puntos más relevantes de este evento se comparten a continuación:
Automatización: El objetivo a conseguir
A diferencia de años anteriores, este año se introdujeron dos talleres (workshops) que se realizaron paralelamente en las jornadas previas al evento principal. Estos talleres tenían como objetivo permitirle a los asistentes discutir y compartir experiencias en los siguientes temas:
- Assessment Evidence Collection Techniques (Técnicas de obtención de evidencias en evaluaciones de cumplimiento), en donde se analizaron las diferentes estrategias para la recopilación de evidencia de cumplimiento en los controles de los estándares, incluyendo la captura de evidencia en entornos compartidos o en la nube, la importancia en la comunicación entre el asesor y la entidad evaluada, las diferentes implicaciones legales en la gestión de evidencia y los procesos de retención.
- Approaches for Monitoring Third Party Service Providers (Enfoques para monitorización de proveedores de servicio), en donde se revisó la importancia en la existencia de inventarios de proveedores actualizados, la criticidad en la definición de roles y responsabilidades en las «matrices de responsabilidad», el trabajo mancomunado entre el área de contratación y el personal de cumplimiento normativo de la entidad y los procesos de due diligence, onboarding, monitorización y offboarding de proveedores.

A pesar de que estos dos temas son muy diferentes, sorpresivamente una conclusión fue trasversal a ambos: La necesidad de automatizar los controles para optimizar tiempos, costes y esfuerzo en las tareas de monitorización. Con cada vez más complejidad, activos en el entorno, elementos a revisar y con el potencial elemento humano como factor de error, es imprescindible que las organizaciones identifiquen y desplieguen controles automatizados para mantener líneas de cumplimiento tolerables, mientras que se minimizan los errores y se optimizan los resultados.
Agrupación y simplificación: La nueva ruta del PCI SSC
Uno de los temas más importantes relacionados con el futuro de los estándares gestionados por el PCI SSC fue la hoja de ruta de actualizaciones. Es innegable que a medida que avanza el tiempo, también avanzan las tecnologías de pago conjuntamente con sus riesgos relacionados, las técnicas de ataque y los controles de seguridad para gestionarlos. Mantener un estándar de protección de datos alineado con la realidad y con el entorno que intenta proteger es un punto clave para que los controles establecidos no pierdan vigencia y perduren en el tiempo.

Actualmente, el PCI SSC ha publicado 15 estándares y mantiene diferentes programas de cumplimiento, documentos adicionales de referencia y preguntas de uso frecuente (FAQs). En su momento, este enfoque fue válido, pero actualmente, en donde las arquitecturas en la nube, el uso de proveedores certificados, la minimización de responsabilidades y la madurez en seguridad son comunes en cualquier entorno, es necesario replantear los objetivos y las necesidades de los estándares.

En ese orden de ideas, el PCI SSC estableció 8 objetivos de protección principales (seguridad en dispositivos físicos, operaciones de gestión de claves, pagos con tarjetas u otros instrumentos de pago, seguridad del entorno, seguridad en el proceso de software y desarrollo, seguridad móvil, seguridad en soluciones de pago y marcos de trabajo para tecnologías emergentes) y procederá a relacionar cada uno de los estándares actuales con esas áreas. Como resultado:
- Se establecerán nuevos controles para la gestión de aplicaciones de pago de terceros que se instalan en dispositivos de Punto de Interacción (POI).
- El estándar PCI PIN (cuyos controles también son parte del Dominio 5 de P2PE) migrará hacia un nuevo estándar, cuyo nombre tentativo será Key Management Operations (KMO), que definirá los controles genéricos para la operación y administración de claves criptográficas. Se espera que este nuevo estándar sea incluido como requisito de cumplimiento de otros estándares en donde se realicen operaciones criptográficas.
- En cuanto a la seguridad física, se espera que todos los controles distribuidos a lo largo de los estándares actuales se centralicen en un nuevo estándar cuyo nombre tentativo será Environmental Security Standard (ESS). Al igual que con KMO, si un estándar incluye controles de protección del entorno, es muy probable que se requiera el cumplimiento de ESS.
- Los componentes de Software Development Kits (SDK), principalmente de 3DS, serán integrados en el estándar PCI Secure Software.

Las fechas de publicación de esos nuevos estándares y la definición de sus periodos de migración y programas asociados (si aplican) serán anunciados en un futuro cercano.
Seguridad en el desarrollo y problemas de autenticación: Los puntos de acceso de los delincuentes
Una de las sesiones más interesantes fue la sesión de asesores QSA, que por lo general se realiza de forma remota, pero esta vez se realizó de forma presencial durante el evento. En esta sesión se revisaron los diferentes esfuerzos del PCI SSC para recibir retroalimentación (feedback) por parte de las entidades asociadas, se revisaron mejores prácticas, casos de estudio y finalmente una sesión de preguntas y respuestas, en donde confirmó que no habrán Technical FAQs para PCI DSS y que se espera que en el mediano plazo se actualice el concepto de «criptografía robusta» (strong cryptography) para incluir los algoritmos de criptografía post-cuántica recientemente publicados por el NIST.
Un tema muy interesante que se discutió en esta sesión fue el de las estadísticas de incidentes analizados por los PCI Forensic Investigators (PFI). En él, se presentaron las causas más comunes de incidentes de seguridad relacionados con tarjetas de pago y los controles del estándar PCI DSS que tuvieron más problemas, confirmando que los principales problemas provenían de errores en el proceso de desarrollo de software (requerimiento 6) e identificación y autenticación de usuarios (requerimiento 8).

La retirada de Triple DES y la migración a AES: Crónica de una muerte anunciada
Como ya os habíamos adelantado en PCI Hispano, el algoritmo Triple DES fue catalogado como obsoleto por el NIST y su uso no está permitido en agencias gubernamentales de USA y Canadá. Esta decisión ha afectado no solamente a esas agencias, sino que tendrá un impacto amplio en la industria de medios de pago, en donde Triple DES (o TDEA) está presente en casi todos los mecanismos de cifrado relacionados con pagos.
Uno de los temas recurrentes fue el proceso de migración de TDEA a AES, el cual requiere de la definición temprana de un plan de acción, la reserva de un presupuesto para su ejecución y el trabajo conjunto entre las diferentes entidades involucradas en el flujo de datos sensibles para remplazar las claves afectadas minimizando el tiempo de inactividad e impacto en la operación.

A pesar de que el PCI SSC aún no se ha pronunciado formalmente respecto a TDEA, se hizo un llamado a las entidades a que se preparen de forma proactiva, ya que este es un cambio inevitable.
Otros temas interesantes
Aparte de los temas citados anteriormente, otras áreas analizadas en este evento fueron:
- Uso de servicios de criptografía provistos por terceros (incluyendo HSM-as-a-Service) y su impacto en el cumplimiento de estándares.
- Impacto de nuevas tecnologías (tales como inteligencia artificial y machine learning) y gestión de infraestructura como código (Infrastructure-as-Code) en el alcance de PCI DSS.
- Experiencias en la implementación de los controles de monitorización de scripts en páginas de pago.
- Masificación de soluciones de pagos empleando dispositivos móviles commercial off-the-shelf (COTS) y los controles del estandar PCI Mobile Payments on COTS (MPoC).

Conclusión
Si eres un comerciante, un proveedor de servicios de la industria de medios de pago, un vendedor de soluciones de seguridad o una empresa QSA, este evento es imprescindible, no solamente por la información técnica compartida sino también por los contactos y las personas que conoces. Personalmente, pude por fin conocer personalmente a dos excelentes profesionales y seguidores de PCI Hispano (Álvaro Reig de Planet y Javier Trives de Necomplus), reencontrarme con viejos amigos (Marc de Tébar de Schwarz, Manuel Fernández y Alberto España de Botech), así como compartir con mis compañeros de Integrity360 (Daniel Vivar y Manuel Vallina) y con muchos otros muchos otros asesores QSA y personal de la industria. Ha sido un placer poder veros.

Finalmente, es imposible terminar sin hacer mención a las sesiones de networking y actividades adicionales que complementan a las sesiones técnicas, que siempre son bienvenidas en este tipo de eventos.

Si estuviste en el evento, déjanos tus comentarios abajo por si quieres compartir tus opiniones o si hay algún tema que haya olvidado mencionar en este artículo.
Nos veremos en Ámsterdam en 2025 🙂
Muchas Gracias David y gran reseña, Nos vemos en Ámsterdam!!
Gracias David. Gran resumen. Espero verte por Ámsterdam.