El 18 de mayo de 2026, el PCI SSC publicó la versión 5.0 del estándar PCI PTS HSM (o simplemente PCI HSM). Este estándar incluye numerosos cambios que pueden afectar, directa o indirectamente, el cumplimiento de otros estándares del PCI SSC. Aquí te contamos los detalles.

Introducción a PCI PTS HSM

El estándar Payment Card Industry (PCI) PIN Transaction Security (PTS) Hardware Security Module (HSM), más conocido como PCI PTS HSM o PCI HSM, especifica una serie de controles de seguridad físicos y lógicos para dispositivos criptográficos seguros (Secure Cryptographic Devices – SCDs). Este estándar hace parte de la familia de estándares PIN Transaction Security (PTS), de la cual también hacen parte PCI PTS PIN (o PCI PIN) y PCI PTS POI (o PCI POI), enfocados inicialmente en la seguridad del PIN en transacciones presenciales. No obstante, al día de hoy, esta familia de estándares (sobre todo PCI HSM y PCI POI) también abarca la protección de otros datos de cuenta, como el PAN y la gestión de claves criptográficas para validaciones de firmware, autenticación, etc.

En el caso particular de PCI HSM, este estándar se enfoca en la gestión del ciclo de vida de los dispositivos HSM, incluyendo su fabricación, envío, uso y desmantelamiento, así como en controles relacionados con la gestión y operación de algoritmos, longitudes de clave y procesos de generación, carga, exportación, transmisión, almacenamiento, reemplazo y destrucción de claves empleadas en rutinas criptográficas.

Cambios relevantes de la versión 5.0 de PCI HSM

La versión 4.0 de PCI HSM fue publicada en diciembre de 2021 y, desde entonces, el panorama de la criptografía ha cambiado a pasos agigantados. Esto ya lo sabía el PCI SSC y, por esa razón, venía trabajando activamente en la versión 5.0 de PCI HSM. Algunos de los cambios más relevantes son:

  • Reestructuración de los requerimientos y actualización de la terminología, especialmente de las referencias a otros estándares, como X9.143 (anteriormente TR-31).
  • Reforzamiento de la criptografía utilizada para propósitos de seguridad del dispositivo (por ejemplo, validaciones de firmware y claves de almacenamiento), que debe soportar, como mínimo, una fortaleza de 128 bits, excluyendo TDEA (Triple DES).
  • Identificación explícita de los controles que deben estar presentes cuando el dispositivo opera en modos PCI y no-PCI.
  • Soporte de criptografía moderna, incluyendo criptografía poscuántica y refuerzo de requisitos para otros algoritmos, principalmente de criptografía asimétrica.
  • Secciones específicas para entornos multi-tenant y de HSM-as-a-Service (HSMaaS), alineadas con los nuevos servicios de Cloud Service Providers (CSPs) de criptografía gestionada.
  • Se incluyen tres nuevos módulos de evaluación de HSMs:
    • Funcionalidades de transferencia de claves (Key-transfer functionality), que describen los controles necesarios para la carga de claves en claro, componentes, criptogramas y claves públicas firmadas, ya sea mediante técnicas manuales, directas o de red.
    • Administración remota, que enumera los controles que deben emplearse al realizar la administración remota de dispositivos HSM, incluyendo el uso de hardware seguro, autenticación, gestión de logs, encriptación durante la transmisión de datos y seguridad física.
    • Solución de seguridad de HSM (HSM Solution Security), que incluye controles para la protección de entornos virtualizados, validación de actualizaciones de firmware y controles antimanipulación.
  • Optimización de los procesos de gestión de vulnerabilidades.
  • Aclaraciones y mejoras en los procesos de pruebas y validación.

Desde el punto de vista de organización, esta nueva versión del estándar incluye cinco (5) módulos de evaluación:

Evaluation Module 1: Core Requirements
Evaluation Module 2: Key-Transfer Functionality Requirements
Evaluation Module 3: Remote Administration Requirements
Evaluation Module 4: HSM Solution Security Requirements
Evaluation Module 5: Life Cycle Security Requirements

La versión 5.0 de PCI HSM puede descargarse de la biblioteca de documentos del PCI SSC.

Entidades afectadas por este cambio

Es importante aclarar que el estándar PCI HSM se aplica a los fabricantes de módulos de seguridad de hardware (HSMs) y que dicho estándar es evaluado por laboratorios homologados. Los productos evaluados están listados en la página de dispositivos aprobados en PTS del PCI SSC, bajo las categorías «HSM», «Multi-tenant HSM» y «RAP»:

No obstante, aquellas entidades que deben cumplir con estándares como PCI PIN, PCI P2PE, PCI 3DS, PCI Card Production o PCI TSP deben usar una solución de HSM validada bajo FIPS 140-2/140-3 o PCI HSM. En este caso, los dispositivos HSM que estén validados en PCI HSM no deben estar expirados y deben desplegarse conforme a las políticas de seguridad correspondientes.

Implicaciones técnicas de esta nueva versión

Como se explicaba anteriormente, la versión 5.0 de PCI HSM fue desarrollada teniendo en mente tres cambios principales:

  • La migración paulatina de algoritmos simétricos (como TDEA) y asimétricos catalogados como débiles u obsoletos hacia soluciones más robustas y actuales, incluida la criptografía poscuántica.
  • La masificación de servicios criptográficos en la nube, incluyendo HSM-as-a-Service (HSMaaS) y soluciones multi-tenant.
  • La mejora de la seguridad interna del hardware y del firmware de los dispositivos criptográficos.

Esto permite concluir que el sector de medios de pago está migrando progresivamente de soluciones on-premises a soluciones en la nube, delegando gran parte de las responsabilidades de hardware a proveedores externos. La gestión de HSM físicos y su seguridad, que tradicionalmente hacían parte de áreas específicas en las entidades financieras, siguiendo protocolos crípticos y desconfiando de cualquier operación externa, poco a poco asumen que deben integrarse en entornos híbridos o totalmente en la nube.

Esto se debe a razones derivadas de la disponibilidad geográfica, interoperabilidad con múltiples fabricantes y optimización de costes (coste total de propiedad – TCO), priorizando la compra de hardware (gastos vistos como Capital Expenditure – CapEx) por gastos operativos (Operating Expense – OpEx) derivados del uso de servicios calculados por consumo.

Posted by David Acosta

Qualified Security Assessor (QSA) para PCI DSS, PCI PIN, PCI 3DS, P2PE y PCI TSP. CISSP, CISA, CISM, CRISC, C|EH, C|HFI.

All Posts Website

Deja un comentario