contactless

Antes de que finalizara el año 2019, el PCI Security Standards Council (PCI SSC) publicó la versión 3.0 del estándar Point-To-Point Encryption (P2PE) y el nuevo estándar PCI Contactless Payments on COTS (CPoC™). Estos estándares hacen parte de las actividades enmarcadas dentro de los cuatro pilares del marco estratégico del PCI SSC, orientados hacia la optimización de la seguridad de los medios de pago tradicionales y a la adecuación de nuevas normas en canales de pago emergentes:

PCI SSC Strategic Framework

Dentro de las puntos clave de estos estandares encontramos:

Point-To-Point Encryption (P2PE) versión 3.0:

  • El estándar PCI Point-To-Point Encryption (P2PE) permite la encriptación de los datos de la tarjeta de pago desde el punto de captura en el comercio (Point of Interaction – POI) hasta el proveedor de servicios. De esta manera, cualquier elemento intermedio en el flujo de la comunicación no podrá tener acceso a estos datos en claro, minimizando el riesgo y la necesidad de implementación de controles de seguridad adicionales.
  • En términos generales, el estándar PCI P2PE versión 3.0 mantiene la misma línea desde la perspectiva de seguridad que su antecesor, la versión 2.0. Solamente, se actualizan algunos requerimientos para adecuarlos con las necesidades actuales de seguridad. El listado completo de cambios, aclaraciones, guías y modificaciones se puede descargar aquí.
  • Debido a que los cambios en términos de requerimientos entre el estándar 2..0 y 3.0 son menores, aquellas entidades que están empleando actualmente una solución P2PE v2.0 tendrán los mismos niveles de seguridad que aquellas que empleen una solución P2PE v3.0.
  • Se agregan cuatro nuevos tipos de proveedores de componentes: POI Management, POI Deployment, Key Management y Key Loading. De esta manera se permite la modularización de componentes en proveedores certificados.
  • Se reorganizan los requerimientos de seguridad del estándar (dominios) y la plantilla P2PE Instruction Manual (PIM) para hacerlos más intuitivos.
  • El dominio 4 (requisitos específicos para implementaciones P2PE de comercios) ha sido movido a un anexo. Los demás dominios han sido re-enumerados para alinearse con este cambio.

Esta versión del estándar se puede descargar desde aquí.

PCI Contactless Payments on COTS (CPoC™):

  • El nuevo estándar PCI Contactless Payments on COTS (CPoC™) permite que los comercios puedan aceptar pagos sin contacto (contactless) – también conocidos como «tap and go» – empleando dispositivos móviles genéricos (commercial off-the-shelf (COTS) mobile devices) como teléfonos inteligentes y tablets a través de interfaces near-field communication (NFC).

COTS

  • Este estándar define una serie de controles de seguridad específicos para:
    • La aplicación encargada de la lectura de los datos de tarjeta a través de NFC (Contactless Payments on COTS (CPoC) application).
    • El dispositivo en el que residirá la aplicación (Commercial off-the-shelf (COTS) device).
    • Conjunto de sistemas de back-end (Back-end systems)
  • La organización del estándar se realiza mediante módulos, con la siguiente nomenclatura:
    • Módulo 1: Core Requirements
    • Módulo 2: Contactless Payments on COTS Application
    • Módulo 3: Back-end systems–Monitoring/Attestation
    • Módulo 4: Back-end systems–Processing
    • Módulo 5: Contactless Kernel
  • El ingreso de PIN a través de sofware no es aceptado en este tipo de soluciones. Para ello, se requiere el cumplimiento de un estándar adicional (Software-Based PIN Entry on COTS Security Requirements).

Esta versión del estándar CPoC™ se puede descargar aquí.

Igualmente, hemos actualizado «La línea de tiempo de los estándares del PCI Security Standards Council (PCI SSC)» para reflejar estas nuevas actualizaciones.

En artículos futuros analizaremos en detalle estos dos estándares y ofreceremos recomendaciones de implementación y despliegue. No olvidéis visitarnos frecuentemente.

Avatar

Autor: David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS, TSP y PIN.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.