En Agosto de 2018 el PCI SSC publicó la versión 3.0 del estándar “PIN Security Requirements and Testing Procedures“. Este documento hace parte de la familia de estándares PCI PIN Transaction Security (PTS) en donde también se encuentran PCI HSM (Hardware Security Module) y PCI POI (Point of Interaction), orientados a la protección del PIN (Personal Identification Number) en transacciones presenciales (“card present”) en cajeros electrónicos y terminales de punto de venta (TPV) atendidas y desatendidas.

La primera versión de PCI PIN (1.0) fue publicada en el año 2011 y la versión 2.0 fue publicada en 2014, con lo este estándar ya acumula 7 años de implementaciones a nivel mundial (para más información, ver el artículo “La línea de tiempo del comité de estándares PCI SSC“).

Los objetivos de este estándar son:

  • Identificar los requerimientos mínimos de seguridad para transacciones de intercambio basadas en PIN.
  • Describir los requisitos mínimos aceptables para asegurar el dato del PIN y las claves de encriptación.
  • Asistir a todos los participantes del sistema de pago minorista en el establecimiento de garantías de que los datos del PIN de los titulares de tarjetas no se vean comprometidos.

El estándar PCI PIN es de obligatorio cumplimiento para todas las instituciones adquirientes y agentes responsables del procesamiento de transacciones con PIN de las tarjetas de las marcas del PCI SSC (VISA, MasterCard, AMEX, Discover y JCB) incluyendo servicios de inyección de claves y gestión de certificados y debe ser usado en conjunción con otros estándares aplicables de la industria (PCI DSS, PCI P2PE, etc.).

Novedades en la versión 3.0 de PCI PIN

Para esta nueva versión (3.0), el PCI SSC ha optado por combinar los requerimientos de seguridad (“PIN Security Requirements”) y los procedimientos de prueba (“Test Procedures”) en un único documento, ya que en versiones anteriores se habían mantenido documentos separados.

Respecto a esta nueva versión, uno de los cambios más representativos está en la reorganización de los requerimientos en tres grandes grupos, cada uno subdividido a su vez en “objetivos de control” (“Control Objectives”):

  1. Transaction Processing Operations: Anteriormente denominados “PIN Security Requirements”, este grupo de controles aplican a cualquier entidad relacionada con procesos de adquiriencia y/o procesamiento de transacciones basadas en PIN.
  2. Normative Annex A – Symmetric Key Distribution using Asymmetric Keys: Requerimientos específicos para entidades adquirientes involucradas en la implementación de procesos de distribución de claves simétricas usando claves asimétricas (distribución remota de claves) o para aquellas entidades que ofrecen servicios de operación de autoridades de certificación (Certification Authorities – CA) empleadas para dichos propósitos. Su aplicación depende de las tareas realizadas por la entidad afectada:
    • Si se trata de una entidad adquiriente que también realiza funciones de distribución remota de claves, le aplicarán los controles del grupo “Transaction Processing Operations” y los controles del anexo A.
    • Si se trata de proveedores de servicio o de fabricantes de dispositivos de punto de interacción (POI) o de HSM que operen sistemas de distribución de claves actuando en nombre de una entidad adquiriente, deben cumplir la totalidad de los controles del anexo A.
  3. Normative Annex B – Key-Injection Facilities: Requerimientos para entidades que operan servicios de inyección de claves de adquiriente en dispositivos empleados para la captura del dato de PIN.

En este punto, hay que resaltar que el estándar PCI PIN especifica los controles sobre las claves vinculadas a procesos que específicamente afecten al PIN. Cualquier clave empleada para la protección de otros datos de la tarjeta (PAN, por ejemplo) o que se use para funcionalidades de MAC está fuera del ámbito del documento.

Por otro lado, dependiendo de las tareas realizadas, cada entidad puede estar sujeta a la aplicabilidad de requerimientos de diferentes secciones o al estándar completo. El apéndice A del estándar incluye una nueva matriz en la cual se indica la aplicabilidad de cada requerimiento en función de las labores desarrolladas.

Figura 1. Aplicabilidad de requerimientos de PCI PIN en función de las labores realizadas

El listado de cambios entre la versión 2.0 y 3.0 se puede encontrar en el documento “PIN Security Requirements Modifications and Testing Procedures: Summary of Changes“.

Fechas límite para la retirada de claves 3DES (TDES) fijas para la encriptación de PIN y soporte al formato 4 de bloque de PIN

En esta versión del estándar se han estipulado los siguientes plazos para el uso de claves fijas de 3DES (TDES) empleadas para la encriptación de PIN y el uso del formato 4 de bloque de PIN ( ISO PIN block format 4):

  • A partir del 1 de enero de 2023 todas las claves fijas de 3DES (TDES) empleadas para la encriptación de PIN en puntos de interacción (POI) y conexiones host-to-host no serán permitidas.
  • A partir del 1 de enero de 2023 todos los hosts deben soportar la desencriptación del formato 4 de bloque de PIN.
  • A partir del 1 de enero de 2025 todos los hosts deben soportar la encriptación del formato 4 de bloque de PIN.

Fechas límite para la implementación de “key blocks” para claves de encriptación simétricas

De la misma manera, se han definido las siguientes fechas para que las claves de encriptación simétricas sean manejadas en estructuras de “key blocks”(controles adicionales para proteger la integridad de las claves de encriptación).

  • Fase I: Se debe implementar la funcionalidad de “key blocks” para todas las conexiones internas y almacenamiento de claves dentro de los entornos de proveedores de servicios (esto puede incluir todas las aplicaciones y bases de datos conectadas a HSM). Fecha de entrada en vigencia: 1 de junio de 2019.
  • Fase II: Se debe implementar la funcionalidad de “key blocks” para todas las conexiones externas a asociaciones y redes. Fecha de entrada en vigencia: 1 de junio de 2021.
  • Fase III: Se debe extender la funcionalidad de “key blocks” a todos los hosts de comercios, terminales de punto de venta (TPV/POS) y cajeros electrónicos (ATM). Fecha de entrada en vigencia: 1 de junio de 2023.

Otras consideraciones adicionales

Finalmente, se han establecido los siguientes criterios adicionales:

  • Todas las entidades afectadas por el estándar deben mantener un inventario de todas las claves criptográficas empleadas en el entorno, incluyendo su nombre, su uso, el algoritmo usado y su longitud. De igual forma, se debe mantener un diagrama de flujo red esquemático que facilite la revisión de los requerimientos de seguridad.
  • El uso de ordenadores personales para la carga de claves, en donde los secretos en texto claro y/o las claves privadas y/o sus componentes puedan existir en memoria no protegida fuera del perímetro de seguridad del dispositivo SCD está planificado para ser retirado en fechas futuras.
  • El uso de inyección de secretos en texto claro o de material de claves privadas en un SCD está siendo planificado para ser retirado en fechas futuras. Solamente se permitirá la inyección de claves encriptadas.
  • En relación con el uso de determinados modelos o actualizaciones de dispositivos POI, serán las propias marcas de pago las que definan los criterios de despliegue y periodos de expiración y remplazo de estos equipos en campo de acuerdo con el estándar PCI PTS.
  • Es importante aclarar que son las marcas (y no el PCI SSC) las responsables de la definición y la gestión de los programas de cumplimiento asociados a este estándar, por lo que cada marca estipulará las fechas de cumplimiento, multas y forma mediante la cual se realizará el reporte de cumplimiento, así como los listados de empresas que pueden auditar.

Como siempre, les invitamos a participar en el foro o dejar un comentario en este artículo si se tiene alguna duda, comentario o sugerencia. No olviden seguirnos en Twitter, LinkedIn, Facebook, Google+ y vía RSS.

NOTA: Este artículo fue publicado inicialmente en el blog de Internet Security Auditors.