Etiquetado: 

Este debate contiene 1 respuesta, tiene 2 mensajes y lo actualizó David Acosta David Acosta hace 10 meses.

  • Autor
    Publicaciones
  • #47570
    Avatar
    barjita
    Participante

    Buenas tardes a todos,

    Antes de nada, indicar que estoy encantado de poder participar con vosotros en el foro, y daros la enhorabuena por el trabajo que estáis realizando, que sin duda es de gran ayuda para los que no tenemos conocimiento profundo sobre PCI.

    Ahora me gustaría comentaros una duda, a ver si podéis ayudarme a resolverla. Os pongo en situación:

    Se trata de un comercio con un elevado numero de tiendas en las que hay un sistema de pago presencial, mediante datáfonos que cumplen la normativa PCI-PTS, y que están conectados a la plataforma de la empresa mediante conexión IPsec. Dicho sistema de pago presencial consta de distintos sistemas intermedios por los que viajan las transacciones hasta que llegan al «sistema final de pagos», que a su vez la redirige al procesador correspondiente. Por requisitos de negocio la compañía necesita conocer el PAN de las tarjetas por lo que lo natural parece que es que dichos datáfonos trabajen bajo escenario SNCP categoría 2 (el PAN viaja en claro), lo que, según he entendido leyendo la normativa PCI-DSS y vuestro foro, amplia el scope PCI a todas las tiendas del comercio, sus redes, y cualquier sistema intermedio por el que viaja la transacción hasta llegar al procesador.

    Dada la dificultad y complejidad para mantener en el scope a todos estos actores, hemos pensado en buscar alguna alternativa, para dejar fuera del ámbito tanto a las redes de las distintas tiendas del comercio, como algunos de los sistemas intermedios, haciendo mucho más livianos los requisitos para el cumplimiento de PCI en el conjunto de todo el sistema, sin perder de vista que el negocio necesita conocer el PAN. Una de las alternativas que se nos ha ocurrido es plantear un escenario «P2PE» entre los datáfonos (POI) y el «sistema final de pagos» para la encriptación del PAN, de manera que los sistemas intermedios y el entorno de las propias tiendas no traten ningún dato «en claro», lo que, a priori, entendemos que los dejaría fuera del scope.
    La idea sería pasar a trabajar en un escenario SNCP categoría 1 «modificado», con el PAN cifrado end-to-end entre el POI y el «sistema final de pagos», que es el sistema que necesita conocer los PAN, y que por supuesto cumple PCI-DSS.

    ¿Sería esta solución viable o viola alguna otra normativa?¿Es un planteamiento correcto?¿Se os ocurre alguna otra alternativa?

    Nada más, espero haber sido lo suficientemente claro.

    Muchas gracias por vuestra ayuda.

    Un saludo

  • #47573
    David Acosta
    David Acosta
    Participante

    Buenas tardes:

    Antes que nada, muchas gracias por participar en el foro.

    El núcleo de la respuesta a tu pregunta radica en la necesidad y el argumento de conocer el PAN. Por experiencia te puedo comentar que solamente en casos extremos y excepcionales (de hecho, ahora mismo no se me ocurre ninguno) el comercio necesita conocer el PAN de las tarjetas que han pasado por sus datáfonos. Para tareas operativas del día a día este dato no es necesario conocerlo, ya que acciones como la gestión de reembolsos, conciliación, problemas con transacciones, reclamaciones, etc. se hacen con el identificador de la transacción, no con el PAN, o – a lo sumo – los seis primeros y los últimos cuatro dígitos. Incluso, si tenéis un entorno multi-centro autorizador e implementais lógica de enrutamiento de las transacciones dependiendo del tipo de tarjeta, esto se puede realizar solamente con los seis primeros dígitos de la tarjeta (BIN/IIN).

    En entornos SNCP todo esto ya es provisto por RedSys o por el banco adquiriente con el que se trabaje y ellos proveen de sistemas de backoffice para que el propio comercio pueda gestionar estas acciones de forma independiente. Por ello, la primera acción es plantearos alternativas para no tener el PAN y proceder de otra manera.

    Si definitivamente necesitáis el PAN, entonces en el entorno de tiendas tendréis que aplicar los controles del cuestionario simplificado de SNCP Categoría 2. En el entorno del sistema final de pagos tenéis que cumplir con los controles completos del estandar (SAQ D o auditoría, dependiendo de la cantidad de transacciones anuales).

    Respecto a la alternativa que planteas, piensa que SNCP implica la inyección en sala segura de las claves de los adquirientes en los datáfonos, claves a las que el comercio no tendrá acceso y por eso dicho tráfico se puede considerar fuera del alcance. Si lo que queréis es inyectar vuestras propias claves de cifrado en vuestros datáfonos y luego en el «sistema final de pagos» tener la posibilidad de desencriptarlos y nuevamente volverlos a encriptar con las claves del centro autorizador correspondiente, entonces lo que necesitas es implementar los controles del estándar Point-to-Point Encryption (PCI P2PE) bajo la categoría de comercio («merchant»). Pero, dicho sea de paso, P2PE es cien veces más complejo y costoso que PCI DSS, por lo que no te recomiendo ese camino. P2PE es una buena opción cuando se contrata a un proveedor que ofrezca estos servicios (tampoco tendrás acceso al PAN en claro), no cuando tu te lo montas para tu comercio.

    Revisa con detalle lo que te comento arriba. Lo ideal sería que pudiera conocer por qué necesitáis el PAN y dependiendo de ello miraríamos alternativas. Si es algo confidencial, escríbeme a mi correo [email protected].

    Saludos,

    David

Debes estar registrado para responder a este debate.