En este artículo se presenta una breve descripción del estándar PCI 3DS, orientado a la protección de las transacciones no presenciales (card-not-present) de comercio electrónico a través de la autenticación robusta del titular de tarjeta.

Todos los artículos de la serie "¿Qué es?":

Nota: Este contenido se irá actualizando de forma regular dependiendo de las actualizaciones y de los cambios en los estándares.

Introducción

El estándar Payment Card Industry 3-D Secure – Security Requirements and Assessment Procedures for EMV® 3-D Secure Core Components: ACS, DS, and 3DS Server (o PCI 3DS) es un estándar de seguridad orientado a la seguridad de los componentes involucrados en transacciones con el protocolo EMV 3-D Secure (EMV® 3-D Secure Protocol and Core Functions Specification) para autenticar al titular de la tarjeta en transacciones no presenciales.

Actualmente se encuentra en la versión 1.0 publicada en octubre de 2017.

Orígen

Uno de los principales problemas de las transacciones no presenciales (card-not-present – CNP) con tarjetas de pago (aquellas en las que no se requiere insertar, deslizar o acercar la tarjeta física a un lector) tiene que ver con la autenticación del titular en el momento de realizar la transacción. A diferencia de las transacciones presenciales, en las cuales el titular requiere la presencia de 2 factores de autenticación (el plástico de la tarjeta (lo que se tiene) y el PIN (lo que se sabe)), en las transacciones no presenciales por lo general se emplea el mismo factor de autenticación dos veces (el PAN y el CVV2, que ambos están impresos en el plástico), por lo cual un delincuente que tenga acceso a estos datos tendría la posibilidad de hacer transacciones fraudulentas. Por ello, en el artículo «Breve análisis de 9 técnicas para la minimización del fraude en transacciones de comercio electrónico» hacíamos un listado de diferentes alternativas que se podrían emplear para minimizar este riesgo y su impacto asociado. Precisamente, dentro de esa lista se encontraba 3D-Secure (3DS).

En octubre de 2017, en el marco del PCI Europe Community Meeting realizado en Barcelona (España), el PCI SSC anunció el resultado del trabajo de varios años: la integración del estándar 3-D Secure (3DS) con el resto de estándares del PCI SSC (PCI 3DS Core Security Standard). Dicho estándar tiene como base la especificación del protocolo EMV® 3-D Secure (EMV® 3-D Secure Protocol and Core Functions Specification) y el objetivo de dicha integración es la creación de un marco de trabajo transversal que permita la implementación en forma masiva de este protocolo de seguridad en entornos de comercio electrónico (e-commerce) y compras a través de teléfonos móviles (m-commerce).

¿En qué consiste 3-D Secure (3DS)?

EMV® Three-Domain Secure (3-D Secure o 3DS) es un protocolo de mensajería antifraude que le permite a los consumidores autenticarse con el emisor de su tarjeta de pago en el momento de la realización de transacciones no presenciales (CNP). Se trata de una capa de seguridad adicional que ayuda a prevenir transacciones no autorizadas en entornos de comercio electrónico y, a su vez, protege al comercio de fraudes.

Ejemplo de 3DS con AMEX SafeKey

Como tal, en el momento en el que se realiza la transacción, el emisor de la tarjeta (es decir: el banco del titular de tarjeta que ha emitido el plástico) le solicita al titular un dato de autenticación adicional al CVV2, que por lo general puede ser:

  • Un PIN.
  • Una contraseña o la respuesta a una pregunta secreta
  • Un código de una tarjeta de coordenadas.
  • Un código enviado vía SMS a un teléfono móvil registrado.
  • Una clave de un solo uso (One Time Password – OTP) generado por un dispositivo electrónico o una aplicación instalada en un teléfono móvil.

El objetivo es que el acceso a este dato adicional solamente sea por parte del banco emisor, razón por la cual el comercio y cualquier otra entidad intermedia solamente deben recibir la respuesta a dicha validación: aprobado o no.

Ejemplo de 3DS con VBV mediante un código SMS

Se denomina «Three Domains» (tres dominios) debido a la interacción de tres actores principales, definidos en la especificación del protocolo 3-D Secure de EMV:

  • El dominio del comercio/adquiriente,
  • El dominio del emisor, y
  • El dominio de interoperabilidad (por ejemplo, un sistema de pagos).

Flujo de la transacción a través de los 3 dominios (fuente: Wikipedia)

Historia del protocolo 3-D Secure y de sus diferentes versiones

Línea del tiempo de la especificación 3-D Secure y del estándar PCI 3DS

En 1996 Visa, Mastercard, GTE, IBM, Microsoft, Netscape, SAIC, Terisa Systems, RSA y Verisign crearon el Consorcio SET (Secure Electronic Transaction (SET) Consortium), que estableció las primeras bases para proteger las transacciones financieras en internet.  El consorcio desarrolló un conjunto de protocolos de seguridad y formatos basados en la combinación de certificados digitales y firmas digitales entre el comprador, el comerciante y el banco del comprador para garantizar la privacidad y la confidencialidad de la transacción, por lo que cada usuario del sistema requería de un certificado digital para poder operar.  Lamentablemente, este método tuvo muy poca acogida debido a los costes y a los problemas de integración con los navegadores (browsers) de la época.

Como método alternativo a SET, en el año 1999 Visa creó el protocolo de mensajería Three-Domain Secure (3-D Secure) v1.0  para ofrecerle a los comerciantes y a los emisores una forma para autenticar a los titulares de tarjetas cuando se realizaran compras en línea. Este protocolo gobernaba la interacción entre tres elementos principales involucrados en la autenticación de la transacción: el comerciante, el emisor de la tarjeta y el servicio de directorio.

Durante finales de la década de 1990 y principios del año 2000 la compañía Arcot Systems desarrolló un sistema de autenticación robusta que cumplía con este protocolo (denominado TransFort), que tuvo bastante acogida en los principales bancos en Estados Unidos. Este sistema requería que los comerciantes descargaran un complemento de software (plug-in) que reconocería el esquema de autenticación a aplicar y que los titulares de tarjetas se dieran de alta en el servicio de forma telefónica, creando un número de identificación personal (PIN) que sería solicitado en el momento de pagar. Lo interesante de este método es que no requería mayores cambios en la infraestructura de los comerciantes y que cualquier tarjeta de pago soportaba esta técnica de autenticación adicional.

Debido al éxito de este modelo, Visa USA (mediante su filial e-Visa) adquirió el software a Arcot Systems en el año 2001 para remplazar su tecnología basada en Secure Electronic Transaction (SET), renombrándolo como Verified by Visa (VbV).

Ejemplo de implementación de 3DS a través de «Verified By Visa» (VbV)

Años más tarde, las demás marcas de tarjetas de pago empezaron a desarrollar sus programas de autenticación adicional para compras en línea basados en el protocolo 3-D Secure: MasterCard SecureCode (MSC) y JCB J/Secure en el año 2005 y American Express Safekey en el año 2010.

No obstante, esta primera versión de la especificación 3-D Secure pronto se empezó a quedar obsoleta, ya fue desarrollada para autenticar a los titulares de tarjetas en compras en línea cuando el único mecanismo de conexión disponible a comercios electrónicos era mediante navegadores (browsers) en ordenadores personales. Debido a la rápida proliferación de dispositivos móviles, la autenticación estática de 3-D Secure (basada en contraseñas y números de identificación personal) y las limitaciones de integración con nuevas tecnologías web empezaron a afectar las compras en línea, causando abandonos en el momento del pago y costes operacionales a los emisores de tarjetas por el soporte a usuarios cuando olvidaban sus credenciales de autenticación.

Por esta razón, en el año 2016 Visa, Mastercard, JCB, Discover, American Express y UnionPay centralizan esfuerzos a través de EMVCo para publicar la versión 2 del protocolo 3-D Secure. Esta nueva versión se diseñó para ser menos intrusiva que la primera versión de la especificación, permitiendo el envío de datos adicionales de la transacción como contexto para su validación en términos de riesgo, requiriendo la autenticación adicional solamente cuando se determina que la transacción es de alto riesgo (frictionless). Igualmente, permite nuevos métodos de autenticación del titular de la tarjeta (Cardholder Verification Method – CVM) como PIN online/offline, pregunta/respuesta (challenge-response), secretos compartidos (shared secret), contraseñas estáticas, biometría o códigos de un solo uso (One-Time Passcodes – OTP), así como la integración con nuevos dispositivos (Consumer Device Information – CDI) como telefonos y relojes inteligentes, ordenadores y tabletas.

Finalmente, es importante aclarar varios temas:

  • La especificación funcional de 3-D Secure versión 2 es gestionada exclusivamente por EMVco.
  • Las especificaciones funcionales de 3-D Secure versión 1 son gestionadas por cada marca.
  • Cada marca de pago tiene su propio programa de cumplimiento con 3-D Secure, que incluye reglas y políticas específicas para operar con sus tarjetas empleando la especificación 3-D Secure.
  • Igualmente, cada marca de pago tiene en ejecución proyectos propios de migración de 3-D Secure de la versión 1 a la versión 2. Estos proyectos incluyen la definición de fechas límite, multas en caso de incumplimiento y gestión de responsabilidades en caso de fraudes.

¿Cuál es el ámbito de aplicación de PCI 3-D Secure (PCI 3DS)?

El estándar PCI 3DS Core Security Standard, publicado por el PCI SSC, define los requerimientos lógicos y físicos y los procedimientos de evaluación para aquellas entidades que proveen o ejecutan las siguientes funciones, establecidas en el documento EMV®3-D Secure Protocol and Core Functions Specification:

  • 3DS Server (3DSS): provee la interfaz funcional entre el entorno desde donde se solicita la funcionalidad 3DS y el servidor de directorio (DS).
  • 3DS Directory Server (DS): gestiona la lista de rangos de tarjetas para los cuales la autenticación se encuentra disponible y coordina la comunicación entre el servidor 3DS (3DSS) y el servidor de control de acceso (ACS) para determinar cuál autenticación está disponible para un número particular de tarjeta y tipo de dispositivo.
  • 3DS Access Control Server (ACS): el ACS contiene las reglas de autenticación y es controlado por el emisor. Verifica qué tipo de autenticación está disponible y autentica la transacción específica.

Por lo tanto, la aplicabilidad de este nuevo estándar estará vinculada a aquellos entornos en donde se realizan funciones de ACS, DS o 3DSS. Típicamente, contempla el entorno 3DS (denominado 3DS Environment o 3DE), el cual contiene los componentes de sistema involucrados en ejecución  de transacciones 3DS, así como los componentes que soportan el 3DE.

Para sintetizar, la aplicabilidad/interacción de la especificación 3-D Secure de EMV y el estándar PCI 3DS se define de la siguiente manera:

  • La especificación del protocolo 3-D Secure es provista por EMVco.
  • La definición de los controles de seguridad para proteger los componentes de un entorno 3DS es provista por el estándar PCI 3DS.

Igualmente, el mismo criterio aplica con los Kits de Desarrollo de Software (Software Development Kit – SDK), en donde EMVco provee  la especificación (EMV® 3-D Secure SDK Specification), mientras que el PCI SSC provee los requerimientos de seguridad que deben ser seguridos por aquellas entidades que desarrollan SDKs bajo la especificación de EMV para transacciones de 3DS en dispositivos móviles (PCI 3DS SDK Security Standard).

¿Cómo está organizado el estándar PCI 3DS?

El estándar PCI 3DS Core Security está dividido en dos partes:

  • Part 1: Baseline Security Requirements, que proveen los requerimientos técnicos y operacionales de seguridad diseñados para proteger los entornos en donde las funciones de 3DS se realizan. Estos requerimientos reflejan los principios generales y prácticas de seguridad de la información comunes a múltiples estándares de la industria y deberían ser considerados en cualquier tipo de entorno.
  • Part 2: 3DS Security Requirements, que describe los controles de seguridad específicos para proteger los datos de transacciones 3DS, tecnologías y procesos.

Requisitos de PCI 3DS

Adicionalmente, el estándar viene acompañado de los siguientes documentos:

Como parte de las actuaciones de evaluación y certificación de entornos, el PCI SSC estará encargado de la formación de auditores, mantenimiento de la lista de auditores certificados y gestión de un programa de calidad. Estas acciones están descritas en los siguientes documentos:

Los cursos de formación para QSA (Qualified Security Assessors) de 3D-Ssecure empezará en el primer trimestre de 2018. Mientras tanto, los asesores PCI P2PE y asesores de VISA 3D Secure v1 podrán realizar auditorías a este tipo de entornos posterior a la realización de una formación específica.

¿Cuál es la relación entre el estándar PCI DSS y el estándar PCI 3DS Core Security?

Dependiendo de la forma de implementación, un entorno 3-D Secure (3DE) puede ser parte de un entorno de datos de tarjetas de pago (Cardholder Data Environment – CDE) o estar completamente separado. Si un entorno 3DS procesa datos de tarjetas, puede estar sujeto al cumplimiento de PCI DSS.

Integración del CDE de PCI DSS con el 3DE de PCI 3DS

No obstante, si el entorno en el cual se implementan las acciones de autenticación 3DS también cumple con PCI DSS, entonces se puede homologar de forma directa el cumplimiento de la parte 1 de 3DS:

Correspondencia de requerimientos de PCI DSS y PCI 3DS parte 1

La aplicabilidad de 3DS parte 2 no se encuentra afectada por el cumplimiento o no de PCI DSS.

Alternativas de cumplimiento con PCI 3DS cuando el entorno cumple con PCI DSS o no

¿Cuál es el proceso para realizar una evaluación de cumplimiento de PCI 3DS?

Finalmente, a continuación se enumeran los pasos necesarios para realizar una evaluación de cumplimiento de PCI 3DS por parte de un asesor QSA para PCI 3DS:

  1.  La entidad debe confirmar el tipo de componentes de 3-D Secure presentes en su entorno (3DSS, DS o ACS).
  2.  Cada componente debe estar aprobado por EMVco para poder operar en un entorno 3DS. La lista de productos aprobados se encuentra aquí https://www.emvco.com/approved-registered/approved-products/ . Cada uno de estos componentes debe tener su carta de aprobación (Letter of Approval – LOA) válida y emitida por EMVco.
  3.  Se debe confirmar si el entorno de 3DS (3DE) procesa, almacena y/o transmite datos de tarjetas de pago o no:
    1. Si contiene datos de tarjetas de pago, el entorno 3DS también debe cumplir con PCI DSS.
    2. Si no contiene datos de tarjetas de pago, el entorno 3DS debe cumplir con la parte 1 de PCI 3DS.
  4.  Dependiendo del tipo de componente (3DSS, DS o ACS), algunos requerimientos son aplicables o no (uso de HSMs certificados, controles de seguridad física en el centro de datos, acceso remoto a la consola del HSM, etc.).
  5.  Al finalizar la evaluación de cumplimiento, el asesor QSA rellenará un reporte de cumplimiento (Report on Compliance – RoC) y un certificado de cumplimiento (Attestation of Compliance – AoC), los cuales deberán ser enviados a cada una de las marcas de pago por parte de la entidad evaluada.
  6.  La validación de cumplimiento de PCI 3DS es anual.

Si tienes alguna duda o requieres soporte, no dudes en visitar nuestro foro y seguirnos en Twitter, LinkedIn, Facebook y vía RSS.

Autor: David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS, TSP y PIN.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.