Este debate contiene 1 respuesta, tiene 2 mensajes y lo actualizó David Acosta David Acosta hace 2 años, 2 meses.

  • Autor
    Publicaciones
  • #45345
    Avatar
    Angel
    Participante

    Buen día David,

    Gusto en escribir nuevamente, la presente entrada al foro es para consultarte sobre la norma PCI PIN del SSC. Tengo un duda respecto al requerimiento #20 el cual dice textualmente «All secret and private cryptographic keys ever present and used for any function (e.g., key-encipherment or PIN-encipherment) by a transaction-originating terminal (e.g., PED) that processes PINs must be unique (except by chance) to that device.»

    Esto quiere decir que tengo que generar una llave MAESTRA o DE TRABAJO única para cada dispositivo.

    Así mismo, cuando habla en el requerimiento 20-4 «Entities processing or injecting DUKPT or other key-derivation methodologies must incorporate a segmentation strategy in their environments. Segmentation must use one or more of the following techniques:
    • Different BDKs for each financial institution
    • Different BDKs by injection vendor (e.g., ESO), terminal manufacturer, or terminal model
    • Different BDKs by geographic region, market segment, platform, or sales unit
    Injection vendors must use at least one unique Base Derivation Key (BDK) per acquiring organization, and must be able to support segmentation of multiple BDKS of acquiring organizations.»
    Para este requisito podría estar en cumplimiento si cumplo con algunas de las técnicas de segmentación, en mi caso podría ser por modelo de POS.

    Quedo atento de tu respuesta.

    Saludos
    AC

  • #45366
    David Acosta
    David Acosta
    Participante

    Buenas tardes Ángel:

    Respecto a la primera pregunta, la intención del estándar en ese requerimiento es garantizar que si las claves cargadas en un PED específico son comprometidas, los demás PED no sean afectados por este incidente. Para ello, se requiere que cada PED tenga una clave única y exclusiva, no compartida con otros PED.
    En este caso, puedes optar por múltiples alternativas, como crear una clave específica para cada PED, pero esto implicará que la gestión de esas claves se volverá un trabajo exponencial en función de la cantidad de dispositivos que tengas. La otra opción es que empleando una clave maestra (Base (Master) Derivation Key – BDK) uses funcionalidades de derivación de claves (Key Derivation Functions https://en.wikipedia.org/wiki/Key_derivation_function) a partir de esta clave maestra. Estos procedimientos suelen ser automáticos cuando empleas HSM. Entonces, lo que te pide el control es que cada PED tenga su propia clave que puede estar (o no) derivada de una clave maestra (BDK), en cuyo caso se debería cumplir con el req. 20-3.

    De la segunda pregunta (que está relacionada con la estrategia que uses de la respuesta a la primera pregunta), si empleas «segmentación» por el tipo de modelo de dispositivo no habría problema, ya que coincide con la alternativa indicada en la segunda viñeta del requerimiento:
    «… Different BDKs by injection vendor (e.g., ESO), terminal manufacturer, or terminal model …»

    Saludos,

    David

Debes estar registrado para responder a este debate.