P2PE

Una de las principales ventajas que trajo al entorno financiero la introducción de las tarjetas de pago fue la eliminación de la necesidad de intercambiar dinero en efectivo para efectuar transacciones comerciales. En aquel entonces lo que se pretendía era mejorar la seguridad del titular de tarjeta, ya que no estaría expuesto a robos o atracos y cualquier transacción requeriría el uso de una tarjeta y de un elemento de autenticación adicional (una firma, un PIN o un código de validación en el caso de comercio electrónico) que solamente podía conocer el titular.

No obstante, este modelo tenía múltiples debilidades técnicas que en cuanto pasaba el tiempo se hacían más evidentes y eran aprovechadas por usuarios maliciosos para realizar fraudes:

  • La banda magnética de la tarjeta de pago se podía replicar, creando una copia igual a la original con sus mismas funcionalidades (Skimming)
  • Los datos transmitidos entre el dispositivo físico de lectura de la tarjeta y el autorizador de la transacción (u otros elementos intermedios) podían ser capturados interceptando el tráfico, que muchas veces estaba en texto claro (Sniffing)
  • Los dispositivos en los cuales se procesa o transmite el dato de tarjeta podrían almacenar esta información en texto claro
  • Y más recientemente, malware específico para realizar búsquedas de datos de tarjeta almacenados en memoria en terminales de punto de venta (TPV/POS) (RAM Scrapers)
Imagen 1. Entorno y vulnerabilidades antes de P2PE

Imagen 1. Entorno y vulnerabilidades antes de P2PE

Debido a este tipo de problemas se han presentado algunos de los mayores fraudes a nivel mundial, entre los cuales se encuentran los de la cadena de supermercados TJX (2011), Target (2013), Home Depot (2014) y en los Hoteles Trump y Hilton (2015), entre otros.

Para gestionar estas vulnerabilidades, se creó el Payment Card Industry Security Standards Council (PCI SSC), compuesto por las principales marcas de pago (VISA, MasterCard, American Express, JCB y Discover), que ha publicado una serie de estándares de seguridad entre los que se encuentran PCI DSS (para entornos de comercios y proveedores de servicios), PA DSS (para aplicaciones que procesen datos de tarjetas) y PCI PTS (para la protección física y lógica de transacciones con PIN).

¿QUÉ ES P2PE?

Cada uno de los anteriores estándares del PCI SSC se aplica a elementos diferentes del flujo de tarjetas de pago en una transacción, donde cada elemento certificado actúa de forma independiente (se certifica únicamente el elemento afectado) pero no por ello excluyente (se pueden emplear elementos certificados para complementar la seguridad de otro sistema a certificar). Aprovechando esta última característica, en Junio de 2012 se publicó el estándar P2PE (PCI Point-to-Point Encryption), que definía la implementación de un sistema seguro en el cual todos los anteriores estándares pudieran convivir, minimizando la potencial superficie de ataque contra los datos de tarjetas de pago.

En términos generales, una solución P2PE puede ser provista por un proveedor de servicios o ser implementada internamente por un comercio, combinando dispositivos seguros, aplicaciones y procesos que encriptan los datos de la tarjeta de pago desde el punto de interacción (lectura de banda o chip EMV) hasta que dichos datos son recibidos por un entorno seguro para ser descifrados para proceder con su autorización.

De acuerdo con ello, los componentes de un sistema P2PE son los siguientes:

  • Dispositivos en los cuales la tarjeta es leída (POI – Point of Interaction) que cumplan con los requerimientos del programa PCI PIN Transaction Security (PTS) y soporten Secure Reading and Exchange of Data (SRED). Un listado de este tipo de dispositivos homologados se puede encontrar en https://www.pcisecuritystandards.org/approved_companies_providers/approved_pin_transaction_security.php
  • Aplicaciones instaladas en los dispositivos POI con acceso a los datos de tarjeta en texto claro que cumplan con los criterios descritos en el estándar Payment Application Data Security Standard (PA-DSS). Un listado de estas aplicaciones se puede encontrar en https://www.pcisecuritystandards.org/approved_companies_providers/validated_payment_applications.php
  • HSM (Hardware Security Module) en el entorno de descifrado, homologado por PCI PTS HSM (o que cumpla con FIPS 140-2 level 3) y gestión segura de dichos dispositivos.
  • Uso de operaciones relacionadas con claves de cifrado (generación, distribución, carga/inyección, administración y uso) que implementen la gestión de claves descrita en el estándar PCI PTS
  • Un entorno de descifrado que cumpla con PCI DSS

Aquellos entornos que cumplan con las anteriores especificaciones pueden aplicar a la certificación PCI P2PE – que contiene los requerimientos de seguridad y procedimientos de prueba detallados para cumplir con las premisas de seguridad del dato de tarjeta – y ser listados en la página del PCI SSC como proveedores homologados (Validated Point-to-Point Encryption (P2PE) Solutions).

Con la implementación de esta serie de controles se logra gestionar el impacto de las vulnerabilidades descritas anteriormente:

  • Gracias al uso de dispositivos PCI PTS, los controles de gestión de TPV descritos en PCI DSS y el uso de EMV (en donde sea posible), se minimiza el impacto de la copia de la banda magnética (skimming)
  • La captura de datos a nivel de red (sniffing) no tendrá mayores consecuencias para quien extraiga esos datos del entorno, debido al cifrado y a la gestión de claves implementados en el entorno P2PE.
  • El procesamiento de datos será gestionado con base en los criterios de PA DSS, en donde se aplican mejores prácticas desde el ciclo de vida del desarrollo de software y la gestión de almacenamiento.
  • Los problemas de RAM scraping se verán minimizados gracias a las funcionalidades de Secure Reading and Exchange of Data (SRED) provistas en los dispositivos POI.
Imagen 2. Entorno y vulnerabilidades gestionadas después de P2PE

Imagen 2. Entorno y vulnerabilidades gestionadas después de P2PE

Imagen 3. Detalle de los componentes del entorno P2PE (extraído del estándar PCI P2PE)

Imagen 3. Detalle de los componentes del entorno P2PE (extraído del estándar PCI P2PE)

Adicional a las anteriores ventajas, el entorno del comercio que implemente su propio entorno P2PE o que lo contrate de uno de los proveedores homologados podrá minimizar su entorno de cumplimiento de PCI DSS y los controles a aplicar quedarán limitados a la seguridad física de las tarjetas y a otros canales de pago no presenciales (si es el caso):

EMV Y TOKENIZACIÓN EN ENTORNOS P2PE

Con la implementación de P2PE, un entorno de comercio que capture datos de tarjetas de pago podrá gestionar de forma segura las vulnerabilidades asociadas al robo de datos en tránsito. No obstante, hay un elemento que queda fuera del alcance del propio comercio: La tarjeta de pago del cliente. Estas tarjetas son provistas por una entidad emisora (por lo general un banco) y en muchos países (Estados Unidos, por ejemplo) se siguen empleando las bandas magnéticas. La migración a chips EMV – que proporcionarán mayor seguridad frente a los problemas de la banda magnética (gestión de PIN y cifrado de datos) – se está realizando de forma paulatina y aún tomará bastante tiempo en ser implementada de forma total, aunque incluso el gobierno ya ha empezado a hacer presión para su adopción en USA, con fecha límite de 2015 (https://www.whitehouse.gov/the-press-office/2014/10/17/executive-order-improving-security-consumer-financial-transactions).

Finalmente, en muchas organizaciones se requiere almacenar el dato del PAN para temas de gestión de fraude, conciliación, liquidación, respuesta de reclamaciones, etc. Todo este entorno requerirá de una seguridad adicional provista por PCI DSS, pero su implementación conlleva bastante desgaste técnico, adminsitrativo y presupuestal. Para complementar las funcionalidades de seguridad provistas por EMV + P2PE se puede emplear el concepto de tokenización, en el cual se remplaza el dato de tarjeta por un alias que proporciona la misma funcionalidad.

Haciendo uso de EMV + P2PE + Tokenización se protege todo el entorno, blindándolo frente a ataques de clonación de tarjetas (EMV), pérdida de datos en tránsito (P2PE) y tokenización (protección de datos en el almacenamiento). Mayor información en el infográfico Fight Cybercrime by Making Stolen Data Worthless to Thieves publicado por el PCI SSC y “Technologies for Payment FraudPrevention: EMV, Encryption and Tokenization” de Smart Card Alliance.

CONCLUSIÓN

La industria ha reaccionado frente a las últimas brechas de seguridad causadas por robo de datos de tarjetas de pago en la transmisión, el procesamiento y el almacenamiento en entornos inseguros. La respuesta a estos problemas ha sido la creación del estándar P2PE (PCI Point-to-Point Encryption) que incorpora lo mejor de los otros estándares del PCI SSC (PCI DSS, PA DSS y PCI PTS) para ofrecer un entorno seguro en el cual los datos son protegidos desde el momento mismo de su captura en un dispositivo POI (Point of Interaction). Mediante la implementación de este estándar se minimizan los problemas causados por RAM scraping, sniffing, skimming y almacenamiento inseguro de datos.

Por otro lado, implementando en conjunto EMV (en el plástico del cliente para prevenir clonación) y tokenización (para protección del PAN en el almacenamiento), se minimiza la superficie de ataque y cualquier dato obtenido por un atacante será inservible en términos prácticos.