Etiquetado: 

Este debate contiene 1 respuesta, tiene 2 mensajes y lo actualizó David Acosta David Acosta hace 3 años, 1 mes.

  • Autor
    Publicaciones
  • #44497
    Avatar
    Angel
    Participante

    Hola David,

    Una consulta sobre PCI PIN, sabes que consideraciones debo seguir para el algoritmo de cifrado que debo utilizar? Por el lado de PCI DSS pide que sea TDES, sin embargo para la llave de cifrado del PIN la norma PCI PIN solo pide que el algoritmo de cifrado utilizado sea mayor a 114 bits? Sin embargo PCI DSS pide llaves de cifrado TDES de Triple extensión.
    Estaría en conflicto sin doy cumpliendo con PCI PIN y entro en incumplimiento en PCI DSS

  • #44655
    David Acosta
    David Acosta
    Participante

    Buenas tardes Ángel:
    Ten presente que son dos estándares diferentes. Mientras el primero (PCI DSS) se encarga principalmente de la protección del PAN, el segundo (Visa PIN o PCI PIN) se encarga de la protección del PIN. Al ser dos datos diferentes y dos estándares diferentes, como tal se complementan y no se excluyen.
    Siendo así, en PCI DSS puedes emplear cualquiera de los siguientes algoritmos y longitudes de clave (extraído del glosario de PCI DSS bajo «Strong Cryptography»):
    AES (128 bits and higher), TDES/TDEA (triple-length keys), RSA (2048 bits and higher), ECC (224 bits and higher), and DSA/D-H (2048/224 bits and higher)
    En el mismo glosario (https://www.pcisecuritystandards.org/pci_security/glossary#S) dice lo siguiente respecto a PCI PIN:
    Note: The above examples are appropriate for persistent storage of cardholder data. The minimum cryptography requirements for transaction-based operations, as defined in PCI PIN and PTS, are more flexible as there are additional controls in place to reduce the level of exposure. It is recommended that all new implementations use a minimum of 128-bits of effective key strength.
    Con base en estas premisas es que debes escoger e implementar los controles de cifrado que te piden las normativas.
    Saludos,
    David

Debes estar registrado para responder a este debate.