Mostrando 1 respuesta al debate
  • Autor
    Entradas
    • #44465
      Rafa
      Participante

      Hola,

      Trabajo para una organización donde en los parking se han colocado unas cajas EMV (suministradas por la empresa Empark) en las que los clientes que hagan uso del aparcamiento pueden pagar con tarjeta. Los EMV para salir a Internet (y comunicarse con las entidades bancarias) pasan por infraestructura de red de la organización (por unas VLANs específicas, que van a unos switches, luego a unos FW y finalmente a un par de routers ADSL).

      Estas cajas parecen estar «certificadas» o preparadas de alguna manera para el cumplimiento de la norma. De hecho, el proveedor (Empark) nos ha facilitado un documento de PCI SS Council «Letter of Approval PCI PIN Entry Device Testing Program» como muestra de ello. Entiendo que esto quiere decir que el fabricante de la caja ha superado los requisitos de seguridad exigidos por el Council como dispositivo de entrada de PIN: «PCI SSC hereby (a) grants your PED approval, based on the requirements stated in the PCI PIN Entry Device Security Requirements manual (which may be amended at any time and from time to time by PCI SSC), and (b) agrees to include your PED in PCI SSC’s Approved PIN Entry Device List.»

      También nos han contado algo sobre que implementan el protocolo P2PE (cifrado punto a punto) -no tenemos evidencia- y tampoco estamos seguros de si eso lo pueden garantizar simplemente con la propia caja.

      En cualquier caso, ¿Nosotros, al transitar datos de tarjeta por nuestra infraestructura, estamos obligados a cumplir con los 12 requisitos sí, o sí, verdad? ¿Independientemente de que el tráfico vaya cifrado desde que el cliente introduce su tarjeta en el lector -con el famoso P2PE? ¿Qué argumentos podríamos dar desde IT a los jefes para que se lanzen a hacer una adecuación a la norma (casos conocidos de retirada de VISA, MasterCard… o fuertes amenazas/multas…no he encontrado nada)?

      Mencionar que es la propia organización la que ofrece este servicio a sus clientes, no es un servicio concesionado a un tercero, sino que el dinero ganado es para la organización; por lo que entiendo que el rol que toma es el de Comercio. (Otra cuestión que estamos analizando es el nº de transacciones anuales, para ver qué debemos realizar)

      Por último, daros las gracias por la página. Soluciona muchísimas cuestiones que en sí con la norma quedan muy en el aire. Me ha sido muy útil para los análisis que estamos llevando a cabo.

      Un saludo.

    • #44590
      David Acosta
      Participante

      Buenas tardes Rafa:
      Con base en tus descripciones, el flujo de datos de tarjetas proviene de un dispositivo que está homologado por el PCI SSC como PTS. Para validar que efectivamente esto es real, simplemente ve a https://www.pcisecuritystandards.org/approved_companies_providers/approved_pin_transaction_security.php y busca la referencia del dispositivo en mención. Ten presente que únicamente ciertas versiones y modelos están homologados, con lo cual es clave que valides este tema.
      Por otro lado, para reportar tu cumplimiento de PCI DSS teniendo presente el uso de estos equipos homologados, tienes varias opciones (como comercio, con base en lo que describes):
      – Si tienes más de 6 millones de transacciones, tienes que pasar una auditoría de PCI DSS, aunque muchos de los controles no aplicarían, por lo que simplemente los reportas como N/A. Aquí necesitarás un auditor QSA para que lleve ese proceso.
      – Si tu número de transacciones anuales es menor, dependiendo del tipo de dispositivo que usas (entiendo que es una especie de datafono que lee la tarjeta y tiene su propia conexión IP directa al centro autorizador) puedes reportar tu cumplimiento con un SAQ B-IP (https://www.pcisecuritystandards.org/documents/SAQ_B-IP_v3.docx)
      – P2PE es un servicio como tal. Revisa si tu proveedor está listado en https://www.pcisecuritystandards.org/approved_companies_providers/validated_p2pe_solutions.php. Si es así y se ha configurado esta infraestructura, puedes reportar el cumplimiento con un SAQ P2PE (https://www.pcisecuritystandards.org/documents/SAQ_P2PE-HW_v3.pdf)
      Si quieres, revisa el artículo «Todo lo que siempre ha querido saber acerca de los SAQ (Cuestionarios de Auto-evaluación)» http://www.pcihispano.com/todo-lo-que-siempre-ha-querido-saber-acerca-de-los-saq-cuestionarios-de-auto-evaluacion/ en donde encontrarás los criterios empleados en cada categoría de SAQ.
      Si implementas una solución que procese, almacene o transmita datos de tarjeta de pago y no despliegas los controles de seguridad establecidos en PCI DSS ni reportas el cumplimiento, cualquier incidente será totalmente la responsabilidad de tu empresa y deberás cubrir enteramente los costes asociados a investigaciones forenses, multas, demandas y obviamente la pérdida de imagen…
      Obviamente, esta información es únicamente de referencia y todo depende de tu entorno y cómo tengas implementada la solución, por lo que mi consejo es que te asesores de un QSA, de la empresa que te ofrece la solución y de tu banco adquiriente para optar por la mejor opción.
      Saludos,
      David

Mostrando 1 respuesta al debate
  • Debes estar registrado para responder a este debate.