nesa

Como respuesta a la creciente implementación de soluciones de cifrado punto a punto (Point-to-Point encryption) para la protección de datos de tarjeta de pago en transacciones presenciales a través de TPV, el PCI SSC ha publicado el documento “Information Supplement: Assessment Guidance for Non-Listed Encryption Solutions“.  Este documento – cuyo público objetivo son los PCI Qualified Security Assessors (QSA), P2PE QSA, proveedores de soluciones de encriptación punto a punto no listadas y comercios que hacen uso de dichas soluciones – permite la evaluación de una solución de encriptación no listada por el PCI SSC como validada por P2PE.

Para que una solución de encriptación punto a punto pueda ser evaluada con base en los criterios de esta guía debe cumplir con las siguientes premisas:

  • No debe haber sido validada por el programa P2PE ni estar en el listado de soluciones P2PE validadas por el PCI SSC
  • El comercio debe utilizar dispositivos PTS POI (Point-of-Interaction) v2 para la aceptación y encriptación de datos de tarjetas de pago
  • El comercio no debe tener acceso a las claves de encriptación de datos de tarjeta
  • El comercio no debe tener acceso a datos de tarjeta de pago en texto claro transmitidos fuera del dispositivo

Este suplemento informativo no es un estándar como tal, sino una guía de recomendaciones para la evaluación de soluciones no listadas (Non-listed Encryption Solution Assessment – NESA). Esta documentación debe ser creada por un P2PE QSA teniendo como base el documento P-ROV e indicando lo siguiente:

  • Una descripción de la solución de encriptación no listada
  • Los hallazgos (cumplimiento total, parcial o nulo) de los dominios 1, 2 y 3 de P2PE
  • Una declaración de cumplimiento del criterio del alcance y de cumplimiento de los dominios 5 y 6 de P2PE
  • Las recomendaciones del P2PE QSA acerca del impacto de la solución en el cumplimiento de PCI DSS del comercio

Los proveedores de soluciones no listadas deben ejecutar una auto-evaluación de su solución de forma anual y realizar una auditoría completa con un P2PE QSA cada tres años. Es importante tener presente que la implementación de una solución no listada no excluye del cumplimiento de PCI DSS, pero el esfuerzo de validación del cumplimiento de este estándar es mayor que si se desplegara una solución listada.

p2pe_pcidss

De acuerdo con ello, se requiere del trabajo conjunto del proveedor de la solución, el P2PE QSA, el comercio y el PCI DSS QSA para determinar el alcance, los requerimientos de PCI DSS que aplican y el esfuerzo necesario para minimizar el riesgo cuando se emplean este tipo de soluciones.

Se puede encontrar información adicional acerca de este nuevo documento en el artículo “P2PE: Assessing Non-listed Encryption Solutions” del blog del PCI SSC.