Capture

Continuando con las actualizaciones en su biblioteca de documentos, el 18 de Diciembre de 2014 el PCI SSC publicó la versión 2.0 del documento “PCI PIN Security Requirements” cuya versión 1.0 había sido publicada tres años atrás.  Este documento define 33 requerimientos de seguridad para la gestión, procesamiento y transmisión del número de identificación personal (Personal Identification Number (PIN)) durante transacciones online y offline relacionadas con tarjetas de pago en cajeros electrónicos (Automatic Teller Machine (ATM)) y terminales de punto de venta (point-of-sale (POS)) atendidas y desatendidas.  Estos requerimientos se encuentran organizados en 7 grupos lógicos denominados “Objetivos de Control” que deben ser cumplidos por aquellas entidades adquirientes y agentes responsables del procesamiento de PIN en conjunción con otros estándares de la industria aplicables. La lista de cambios entre la versión 1.0 y 2.0 de estos requerimientos se puede encontrar en el documento “PCI SSC Modifications to PCI PIN Security Requirements“.

Los objetivos de este estándar son:

  • Establecer los requerimientos mínimos a ser empleados en transacciones que involucran el intercambio de PIN
  • Esquematizar los requerimientos mínimos aceptables para la securización del componente PIN y las claves de cifrado
  • Soportar a todos los participantes del sistema de pagos electrónicos al por menor en el establecimiento de controles de seguridad  para garantizar que el PIN no será comprometido

De forma complementaria se establecen dos anexos para la administración de escenarios particulares relacionados con este tipo de transacciones:

  • Anexo A: que contiene controles específicos para aquellas entidades encargadas de la distribución remota de claves de cifrado simétrico empleando claves asimétricas y aquellas entidades involucradas en la operación de autoridades de certificación (CA) para dichos propósitos.
  • Anexo B: que contiene requerimientos específicos para entidades que operan procesos de “inyección” de claves (key-injection) tales como Key-Encryption Key (KEK) y PIN-Encipherment Key (PEK)

Adicionalmente, en el Anexo C se enumeran los algoritmos aprobados y la longitud mínima de claves a ser empleadas en este tipo de procesos:

Capture

Por otro lado – y con el fin de facilitar la implementación y auditoría de estos controles – estos requerimientos han sido divididos en dos documentos complementarios:

Estos dos documentos hacen parte integral de los controles de PCI PIN Transaction Security (PCI PTS). La lista actualizada de dispositivos aprobados por el PCI SSC se puede encontrar en https://www.pcisecuritystandards.org/approved_companies_providers/approved_pin_transaction_security.php.

Por último, es importante recordar que la publicación de estos estándares no implica que los programas propios de cada marca dejen de ser válidos. Un ejemplo claro es el programa VISA PIN Security (USAEuropa), que requiere que anualmente la organización rellene el documento “Annual Certification Statement”  y cada tres años el documento “Self Audit Form (SA)”.  Si su entidad se encuentra bajo este escenario, contacte directamente a la marca quien le informará los pasos a seguir con la publicación de estos documentos del PCI SSC.

Como siempre, les invitamos a participar en el foro o dejar un comentario en este artículo si se tiene alguna duda, comentario o sugerencia. No olviden seguirnos en Twitter, LinkedIn, Facebook, Google+ y vía RSS.