Etiquetado: 

Este debate contiene 4 respuestas, tiene 2 mensajes y lo actualizó Avatar jorge1994 hace 1 año, 4 meses.

  • Autor
    Publicaciones
  • #46593
    Avatar
    jorge1994
    Participante

    Buen día,

    Que tan cierto es que los Movil pos tanto con conexión (audífono – bluetooth) no necesitan o no es necesario que tenga la certificación PCi para funcionar internacionalmente.

    He pedido algunos dispositivos y me dijeron aquel comentario, pero me metí en este foro para salir de la duda y no tener problemas a futurio, los mpos que solicité tienen las siguientes certificaciones y me gustaría me confirmen si son validos aquellos para poder funcionar:

    *EMV Contact L1 & L2
    *EMV Contactless L1
    *VISA payWave
    *MasterCard PayPass
    *AMEX ExpressPay
    *Discover Contactless D-PAS
    *VISA Ready
    *MasterCard TQM
    *MasterCard Mobile POS
    *Discover Network ZIP
    *PBOC 3.0 L1 & L2
    *QPBOC 3.0 L1 & L2
    *FCC, CE, RoHS

    Me dan con un SDKs e inyección de llaves deucapt (o algo asi).
    Agradesco sus comentarios/respuestas al respecto, cabe recalcar que es una compañía que esta dentro de la lista de compañía PCi

  • #46680
    David Acosta
    David Acosta
    Participante

    Buenas tardes Jorge:
    Al respecto, es muy importante que tengas en cuenta que para operar de forma segura con dispositivos TPV (POS), dichos dispositivos deben cumplir con el estándar PCI PTS y estar en la lista de dispositivos homologados por el PCI SSC (https://www.pcisecuritystandards.org/assessors_and_solutions/pin_transaction_devices). Ahí encontrarás los modelos, versiones de hardware y de firmware validadas y las fechas de expiración.
    Por otro lado, otro tema que debes tener en cuenta son los requisitos que te exigirá el centro autorizador con el cual te conectes y la forma de gestión de claves que dicho centro autorizador tenga. De eso depende que se haga uso de DUKPT (clave única derivada por transacción) o claves estáticas.
    Siendo así, mi sugerencia es que primero hables con el centor autorizador y le preguntes si los dispositivos que quieres adquirir son soportados por su plataforma.
    Finalmente, debes cumplir con PCI DSS. Para el caso de TPV físicos, se debe cumplir con el SAQ B (si la conexión es por red pública telefónica conmutada) o SAQ B-IP (si la conexión es por red IP).
    Si tienes más dudas, estaremos disponibles.
    Saludos,
    David

  • #46682
    Avatar
    jorge1994
    Participante

    Te agradesco la respuesta David,

    Te felicito por este Blog, muy útil para aquellas personas que están buscando empapar del tema.

    La compañia es BBpos, (Chipper 2x BT).
    No la encuentro dentro de la lista, pero me dicen que no tendría ningun problema en funcionar y sobre todo que en conjunto se le podnría la seguridad siendo Bluetooth(mPos).
    Si al utiliar el término (centro autorizador) es la institución bancaria; si ya está claro que si es posible acomplarlo.
    En el caso de PCI solo sería necesario cumplir y no tener que pagar algún valor o también me toca pagar algún otro valor ?.
    Agradesco tus sugenrencia de ante mano!
    Saludos,
    Jorge

  • #46684
    David Acosta
    David Acosta
    Participante

    Buenas tardes Jorge:
    Aquí podrás encontrar la posición oficial del PCI SSC respecto al uso de dispositivos que no se encuentran en su lista: «How do PTS-approved payment terminals support PCI DSS compliance?«. Lo interesante es lo que indica:
    It should be noted that while PCI DSS does not require the use of PTS-approved devices, some payment brands have requirements for the use of PTS-approved devices. Entities should contact their acquirer or the payment brands directly for information about any such requirements.
    Esto quiere decir que mientras tu banco adquiriente (institución bancaria) te permita el uso de ese tipo de dispositivos, no hay problema.
    No obstante, hay que tener en cuenta que si no se usan dispositivos listados quiere decir que hay mayor riesgo en términos de seguridad y se deben cumplir requisitos de PCI DSS adicionales. Piensa que los dispositivos que están listados han cumplido con una serie de auditorías y revisiones independientes que en cierta forma garantizan unos niveles de seguridad superiores a los que no están listados.
    En este punto, tendrás que preguntarle a tu banco quienes te indicarán los controles del estándar a cumplir.
    Por otro lado, para cumplir con PCI DSS no deberás pagar nada, salvo los costes que estén vinculados con el despliegue de los controles de seguridad que tu propio banco te indique.
    En conclusión: Si tu banco te permite usar dispositivos no listados, ellos son quienes te deben indicar qué controles de PCI DSS se deben cumplir dependiendo de la terminal de pago (TPV/POS) con la que te conectes y cómo deberás reportar el cumplimiento.
    Saludos,
    David

  • #46686
    Avatar
    jorge1994
    Participante

    David,

    Te agradesco mucho por la respueseta, salí de la duda. Saludos y que continúe con este post buenas aportaciones.

Debes estar registrado para responder a este debate.