Este debate contiene 2 respuestas, tiene 2 mensajes y lo actualizó Avatar Jesus Repiso hace 12 meses.

  • Autor
    Publicaciones
  • #46990
    Avatar
    Jesus Repiso
    Participante

    Hola David

    En nuestra empresa, actualmente, tenemos una solución de pago de un tercero que nos proporcionó una pasarela de pago que está en nuestro CPD, las aplicaciones de los PINpad, y los plugins de interconexión con los TPV.
    Bien, suponiendo que transmitamos, en comercio presencial, desde el PINpad mediante SNCP con BIN+4 últimos hasta la pasarela de pago y y después la pasarela de pago transmita hasta los procesadores de pago mediante IPSEC.
    a) La pasarela de pago está en CDE, en ámbito o fuera de alcance teniendo en cuenta que nuestra empresa no tiene forma de descifrar el tráfico?
    b) Los TPV están en el ámbito por estar conectados a los PINpad, y el switch de capa 2 que está conectado al TPV, y lo que está conectado al switch sin VLAN?
    c) Actualmente, el proveedor que nos ha proporcionado todo esto, decidió no seguir certificando PA-DSS porque asegura que toda su empresa pasa PCI y que por tanto no lo necesita, es cierto? ¿Qué tendríamos que hacer? cambiar de proveedor, o de pasarela o solo el software de los PINPads?

    Muchas gracias
    Un Saludo

  • #46991
    David Acosta
    David Acosta
    Participante

    Buenas tardes Jesús:

    En el artículo «Cómo usar la encriptación para minimizar el entorno de cumplimiento de PCI DSS» encontrarás muchas de las respuestas que estás buscando.

    En él, indico lo siguiente:

    No obstante, si una organización tiene en su poder el texto encriptado pero no la clave, dicho texto encriptado se puede considerar fuera del alcance de cumplimiento. Para que esta premisa sea válida, se deben cumplir las siguientes condiciones:
    – La organización que tiene el texto encriptado no debe tener acceso bajo ninguna circunstancia a la clave de cifrado y/o al texto en claro.
    – Cualquier dispositivo que efectúe procesos de encriptación/desencriptación y/o gestión de la clave de encriptación debe estar dentro del alcance de cumplimiento de PCI DSS.
    – Si la organización delega en un tercero la gestión de la encriptación y las claves, dicho tercero debe implementar los controles de PCI DSS (o del estándar del PCI SSC que le apliquen).

    En vuestro caso, con el modelo SNCP no tenéis acceso a los datos de tarjeta en claro (porque no tenéis la clave) ni tampoco al PAN completo (porque usáis BIN/IIN y 4 últimos dígitos). De acuerdo con esto, vuestra pasarela de pago estaría fuera del ámbito de cumplimiento, al igual que cualquier equipo de red intermedio. Desconozco los detalles más operativos, por lo que mi sugerencia es que lo revises con vuestro QSA para que os lo pueda confirmar oficialmente.

    NOTA: Aquí me gustaría aclarar que el modelo SNCP es un modelo de seguridad ad-hoc de los adquirientes españoles, que aún no ha sido homologado por el PCI SSC y cuyas reglas de cumplimiento se definen por los propios adquirientes locales. Siendo así, muchas de tus preguntas te las debería solucionar tu banco adquiriente.
    La contraparte «homologada» por el PCI SSC que hace un cifrado punto a punto y que cuenta con reglas claras de aplicación en los comercios es PCI P2PE (Point to Point Encryption) y que – supongo – es hacia donde irá SNCP en un futuro.
    Siendo así, lo que te digo abajo es a modo informativo, ya que como QSA no tenemos visibilidad del programa SNCP ni sabemos cómo evaluarlo bajo la lupa de los estándares del PCI SSC.

    Por otro lado, supongo que cuando indicas «PIN PAD» te estás refiriendo a los datáfonos como tal. Aquí hay que hacer una diferenciación entre TPV, PIN PAD y datáfono. El TPV (POS) es la solución de pago que incluye el software con la lógica de la venta, que puede estar dentro del propio datáfono o fuera en un PC. El PIN PAD es el nombre genérico del teclado seguro para el ingreso del PIN (EPP = «Encrypted PIN PAN» para terminales desatendidas y PED = «PIN Entry Device» para terminales atendidas) que puede estar o no integrado en el datáfono. Y el datáfono (POI = «Point of Interaction») es el aparato que tradicionalmente se usa para los pagos y que integra en PIN PAD, una pantalla y software y que se debe certificar en PCI PTS por parte del fabricante.

    Siguiendo esta línea, entiendo que vosotros instaláis software en el datáfono. Mientras que ese sotware no afecte la seguridad del aparato y no tenga acceso a datos de tarjetas de pago, inicialmente estaría fuera de PCI DSS.

    Finalmente, si vuestro proveedor no certifica su solución en PA DSS tampoco os debería afectar, ya que no tenéis acceso a datos de tarjetas de pago. El valor agregado de PA DSS en términos de seguridad es si tuviérais acceso a esos datos, pero como no, no hay riesgo. Tampoco os debería efectar el hecho que el proveedor cumpla o no con PCI DSS, ya que como no tenéis acceso ni compartís datos de tarjeta con ellos, su servicio estaría fuera del ámbito.

    Eso solamente para las descripciones que me has dado. Si hay más servicios que desconozco, eso lo debería evaluar un QSA.

    Espero que esta información te sirva.

    David

  • #47104
    Avatar
    Jesus Repiso
    Participante

    Hola David!
    Perdona que no te contestase, no sé por qué no había visto tu respuesta hasta ahora, y eso que entro TODOS los días jeje.

    Con respecto a tus respuestas… genial!!! creo haberlo entendido todo, y me has aclarado cosas sobre los POS y PED que no tenía nada claras, además nos has dado una gran alegría, creemos que si todo está según te lo describí, sacamos del ámbito el 90% de nuestros equipos de tiendas!!

    Muchas Gracias David!!

Debes estar registrado para responder a este debate.