En este artículo se presenta una breve introducción al estándar PCI P2PE (Point-to-Point Encryption) para la protección de los datos de las tarjetas de pago en transacciones realizadas en dispositivos POI (Point-of-Interaction) homologados.

Todos los artículos de la serie "¿Qué es?":

Nota: Este contenido se irá actualizando de forma regular dependiendo de los cambios en los estándares.

Introducción

Una de las principales ventajas que trajo al entorno financiero la introducción de las tarjetas de pago fue la eliminación de la necesidad de intercambiar dinero en efectivo para efectuar transacciones comerciales. En aquel entonces lo que se pretendía era mejorar la seguridad del titular de tarjeta, ya que no estaría expuesto a robos o atracos y cualquier transacción requeriría el uso de una tarjeta y de un elemento de autenticación adicional (una firma, un PIN o un código de validación en el caso de comercio electrónico) que solamente podía conocer el titular.

No obstante, este modelo tenía múltiples debilidades técnicas que en cuanto pasaba el tiempo se hacían más evidentes y eran aprovechadas por usuarios maliciosos para realizar fraudes:

  • La banda magnética de la tarjeta de pago se podía replicar, creando una copia igual a la original con sus mismas funcionalidades (Skimming),
  • Los datos transmitidos entre el dispositivo físico de lectura de la tarjeta y el autorizador de la transacción (u otros elementos intermedios) podían ser capturados interceptando el tráfico, que muchas veces estaba en texto claro (Sniffing),
  • Los dispositivos en los cuales se procesa o transmite el dato de tarjeta podrían almacenar esta información en texto claro,
  • Y más recientemente, malware específico para realizar búsquedas de datos de tarjeta almacenados en memoria en terminales de punto de venta (TPV/POS) (RAM Scrapers).
Imagen 1. Entorno y vulnerabilidades antes de P2PE

Imagen 1. Entorno y vulnerabilidades antes de P2PE

Debido a este tipo de problemas se han presentado algunos de los mayores fraudes a nivel mundial, entre los cuales se encuentran los de la cadena de supermercados TJX (2011), Target (2013), Home Depot (2014) y en los Hoteles Trump y Hilton (2015), entre otros.

Para gestionar estas vulnerabilidades, se creó el Payment Card Industry Security Standards Council (PCI SSC), compuesto por las principales marcas de pago (VISA, MasterCard, American Express, JCB y Discover), que ha publicado una serie de estándares de seguridad entre los que se encuentran PCI DSS (para entornos de comercios y proveedores de servicios), PA DSS (para aplicaciones que procesen datos de tarjetas) y PCI PTS (para la protección física y lógica de transacciones con PIN).

¿Qué es Point-To-Point Encryption (P2PE)?

Cada uno de los anteriores estándares del PCI SSC se aplica a elementos diferentes del flujo de tarjetas de pago en una transacción, donde cada elemento certificado actúa de forma independiente (se certifica únicamente el elemento afectado) pero no por ello excluyente (se pueden emplear elementos certificados para complementar la seguridad de otro sistema a certificar). Aprovechando esta última característica, en Junio de 2012 se publicó la pirmera versión del estándar P2PE (PCI Point-to-Point Encryption), que definía la implementación de un sistema seguro en el cual todos los anteriores estándares pudieran convivir, minimizando la potencial superficie de ataque contra los datos de tarjetas de pago.

En términos generales, una solución P2PE puede ser provista por un proveedor de servicios o ser implementada internamente por un comercio, combinando dispositivos seguros, aplicaciones y procesos que encriptan los datos de la tarjeta de pago desde el punto de interacción (lectura de banda o chip EMV) hasta que dichos datos son recibidos por un entorno seguro para ser descifrados para proceder con su autorización.

P2PE

De acuerdo con ello, los componentes de un sistema P2PE son los siguientes:

  • Dispositivos en los cuales la tarjeta es leída (POI – Point of Interaction) que cumplan con los requerimientos del programa PCI PIN Transaction Security (PTS) y soporten Secure Reading and Exchange of Data (SRED). Un listado de este tipo de dispositivos homologados se puede encontrar en https://www.pcisecuritystandards.org/approved_companies_providers/approved_pin_transaction_security.php
  • Aplicaciones instaladas en los dispositivos POI con acceso a los datos de tarjeta en texto claro que cumplan con los criterios descritos en el estándar Payment Application Data Security Standard (PA-DSS). Un listado de estas aplicaciones se puede encontrar en https://www.pcisecuritystandards.org/approved_companies_providers/validated_payment_applications.php
  • HSM (Hardware Security Module) en el entorno de descifrado, homologado por PCI PTS HSM (o que cumpla con FIPS 140-2 level 3) y gestión segura de dichos dispositivos.
  • Uso de operaciones relacionadas con claves de cifrado (generación, distribución, carga/inyección, administración y uso) que implementen la gestión de claves descrita en el estándar PCI PTS
  • Un entorno de descifrado que cumpla con PCI DSS

Aquellos entornos que cumplan con las anteriores especificaciones pueden aplicar a la certificación PCI P2PE – que contiene los requerimientos de seguridad y procedimientos de prueba detallados para cumplir con las premisas de seguridad del dato de tarjeta – y ser listados en la página del PCI SSC como proveedores homologados (Validated Point-to-Point Encryption (P2PE) Solutions).

Con la implementación de esta serie de controles se logra gestionar el impacto de las vulnerabilidades descritas anteriormente:

  • Gracias al uso de dispositivos PCI PTS, los controles de gestión de TPV descritos en PCI DSS y el uso de EMV (en donde sea posible), se minimiza el impacto de la copia de la banda magnética (skimming)
  • La captura de datos a nivel de red (sniffing) no tendrá mayores consecuencias para quien extraiga esos datos del entorno, debido al cifrado y a la gestión de claves implementados en el entorno P2PE.
  • El procesamiento de datos será gestionado con base en los criterios de PA DSS, en donde se aplican mejores prácticas desde el ciclo de vida del desarrollo de software y la gestión de almacenamiento.
  • Los problemas de RAM scraping se verán minimizados gracias a las funcionalidades de Secure Reading and Exchange of Data (SRED) provistas en los dispositivos POI.
Imagen 2. Entorno y vulnerabilidades gestionadas después de P2PE

Imagen 2. Entorno y vulnerabilidades gestionadas después de P2PE

Imagen 3. Detalle de los componentes del entorno P2PE (extraído del estándar PCI P2PE)

Imagen 3. Detalle de los componentes del entorno P2PE (extraído del estándar PCI P2PE)

Adicional a las anteriores ventajas, el entorno del comercio que implemente su propio entorno P2PE o que lo contrate de uno de los proveedores homologados podrá minimizar su entorno de cumplimiento de PCI DSS y los controles a aplicar quedarán limitados a la seguridad física de las tarjetas y a otros canales de pago no presenciales (si es el caso):

¿Cómo está organizado el estándar PCI P2PE?

El estándar PCI P2PE (en su versión actual, 3.0) está organizado en «dominios«, que cubren determinadas partes del proceso de encriptación desde el dispositivo de captura hasta el entorno de desencriptación:

  • Dominio 1 – Dispositivo de encriptación y gestión de aplicaciones, orientado a la gestión segura de dispositivos de punto de interacción (Point-of-Interaction – POI) y el software residente en dichos dispositivos.
  • Dominio 2 – Seguridad de la aplicación, en donde se describen las premisas para el desarrollo seguro de aplicaciones diseñadas para tener acceso a datos de tarjetas en texto claro que serán instaladas en los dispositivos POI aprobados.
  • Dominio 3 – Gestión de la solución P2PE, en el cual se definen los criterios generales de gestión de la solución P2PE por parte del proveedor de la solución, incluidas las relaciones con terceros, la respuesta a incidentes y el Manual de Instrucciones P2PE (PIM).
  • Dominio 4 – Entorno de desencriptación, que describe los controles para la gestión  segura del entorno que recibe los datos encriptados y los desencripta, incluyendo el cumplimiento con PCI DSS.
  • Dominio 5 – Operaciones con claves criptográficas y gestión de dispositivos, en donde se brindan las pautas generales para el establecimiento y la administración de operaciones de gestión de claves de encriptación en dispositivos POI y módulos de seguridad de hardware (HSM).

Igualmente, se incluye un anexo (Appendix A) en donde se listan los requerimientos que deben ser seguidos por comerciantes que desean implementar su propia solución de encriptación punto a punto y se describen los controles para separar las responsabilidades y funciones entre los entornos de encriptación y desencriptación ubicados en el entorno del comerciante.

¿Qué es Non-Listed Encryption Solutions (NESA)?

nesa

Como respuesta a la creciente implementación de soluciones de cifrado punto a punto (Point-to-Point Encryption) para la protección de datos de tarjeta de pago en transacciones presenciales a través de dispositivos de punto de interacción (POI), el PCI SSC publicó el documento «Information Supplement: Assessment Guidance for Non-Listed Encryption Solutions«.  Este documento – cuyo público objetivo son los PCI Qualified Security Assessors (QSA), P2PE QSA, proveedores de soluciones de encriptación punto a punto no listadas y comercios que hacen uso de dichas soluciones – permite la evaluación de una solución de encriptación no listada por el PCI SSC como validada por P2PE.

Para que una solución de encriptación punto a punto pueda ser evaluada con base en los criterios de esta guía debe cumplir con las siguientes premisas:

  • No debe haber sido validada por el programa P2PE ni estar en el listado de soluciones P2PE validadas por el PCI SSC
  • El comercio debe utilizar dispositivos PTS POI (Point-of-Interaction) v2 para la aceptación y encriptación de datos de tarjetas de pago
  • El comercio no debe tener acceso a las claves de encriptación de datos de tarjeta
  • El comercio no debe tener acceso a datos de tarjeta de pago en texto claro transmitidos fuera del dispositivo

Este suplemento informativo no es un estándar como tal, sino una guía de recomendaciones para la evaluación de soluciones no listadas (Non-listed Encryption Solution Assessment – NESA). Esta documentación debe ser creada por un P2PE QSA teniendo como base el documento P-ROV e indicando lo siguiente:

  • Una descripción de la solución de encriptación no listada
  • Los hallazgos (cumplimiento total, parcial o nulo) de los dominios 1, 2 y 3 de P2PE
  • Una declaración de cumplimiento del criterio del alcance y de cumplimiento de los dominios 5 y 6 de P2PE
  • Las recomendaciones del P2PE QSA acerca del impacto de la solución en el cumplimiento de PCI DSS del comercio

Los proveedores de soluciones no listadas deben ejecutar una auto-evaluación de su solución de forma anual y realizar una auditoría completa con un P2PE QSA cada tres años. Es importante tener presente que la implementación de una solución no listada no excluye del cumplimiento de PCI DSS, pero el esfuerzo de validación del cumplimiento de este estándar es mayor que si se desplegara una solución listada.

p2pe_pcidss

De acuerdo con ello, se requiere del trabajo conjunto del proveedor de la solución, el P2PE QSA, el comercio y el PCI DSS QSA para determinar el alcance, los requerimientos de PCI DSS que aplican y el esfuerzo necesario para minimizar el riesgo cuando se emplean este tipo de soluciones.

Se puede encontrar información adicional acerca de este nuevo documento en el artículo «P2PE: Assessing Non-listed Encryption Solutions» del blog del PCI SSC y los artículos «Reducción de entornos PCI DSS utilizando soluciones de cifrado punto-a-punto no listadas como P2PE» y «Cómo usar la encriptación para minimizar el entorno de cumplimiento de PCI DSS«.

¿Quién puede realizar una evaluación formal de cumplimiento de P2PE/NESA?

Las evaluaciones formales de cumplimiento con P2PE/NESA solamente pueden ser ejecutadas por asesores homologados P2PE (P2PE Assessor).

La lista de asesores homologados se encuentra en el sitio web del PCI SSC: https://www.pcisecuritystandards.org/assessors_and_solutions/point_to_point_encryption_assessors

EMV y tokenización en entornos P2PE

Con la implementación de P2PE, un entorno de comercio que capture datos de tarjetas de pago podrá gestionar de forma segura las vulnerabilidades asociadas al robo de datos en tránsito. No obstante, hay un elemento que queda fuera del alcance del propio comercio: La tarjeta de pago del cliente. Estas tarjetas son provistas por una entidad emisora (por lo general un banco) y en muchos países (Estados Unidos, por ejemplo) se siguen empleando las bandas magnéticas. La migración a chips EMV – que proporcionarán mayor seguridad frente a los problemas de la banda magnética (gestión de PIN y cifrado de datos) – se está realizando de forma paulatina y aún tomará bastante tiempo en ser implementada de forma total, aunque incluso el gobierno ya ha empezado a hacer presión para su adopción en USA, con fecha límite de 2015 (https://www.whitehouse.gov/the-press-office/2014/10/17/executive-order-improving-security-consumer-financial-transactions).

Finalmente, en muchas organizaciones se requiere almacenar el dato del PAN para temas de gestión de fraude, conciliación, liquidación, respuesta de reclamaciones, etc. Todo este entorno requerirá de una seguridad adicional provista por PCI DSS, pero su implementación conlleva bastante desgaste técnico, adminsitrativo y presupuestal. Para complementar las funcionalidades de seguridad provistas por EMV + P2PE se puede emplear el concepto de tokenización, en el cual se remplaza el dato de tarjeta por un alias que proporciona la misma funcionalidad.

Haciendo uso de EMV + P2PE + Tokenización se protege todo el entorno, blindándolo frente a ataques de clonación de tarjetas (EMV), pérdida de datos en tránsito (P2PE) y tokenización (protección de datos en el almacenamiento). Mayor información en el infográfico Fight Cybercrime by Making Stolen Data Worthless to Thieves publicado por el PCI SSC y «Technologies for Payment FraudPrevention: EMV, Encryption and Tokenization» de Smart Card Alliance.

Conclusión

La industria ha reaccionado frente a las últimas brechas de seguridad causadas por robo de datos de tarjetas de pago en la transmisión, el procesamiento y el almacenamiento en entornos inseguros. La respuesta a estos problemas ha sido la creación del estándar P2PE (PCI Point-to-Point Encryption) que incorpora lo mejor de los otros estándares del PCI SSC (PCI DSS, PA DSS y PCI PTS) para ofrecer un entorno seguro en el cual los datos son protegidos desde el momento mismo de su captura en un dispositivo POI (Point of Interaction). Mediante la implementación de este estándar se minimizan los problemas causados por RAM scraping, sniffing, skimming y almacenamiento inseguro de datos.

Por otro lado, implementando en conjunto EMV (en el plástico del cliente para prevenir clonación) y tokenización (para protección del PAN en el almacenamiento), se minimiza la superficie de ataque y cualquier dato obtenido por un atacante será inservible en términos prácticos.


David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS, TSP y PIN.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.