En este artículo se describirá de forma general el objetivo, la aplicabilidad, los contenidos (controles) y los procesos de evaluación de cumplimiento del estándar Payment Card Industry Card Production and Provisioning (PCI Card Production).

Todos los artículos de la serie "¿Qué es?":

Nota: Este contenido se irá actualizando de forma regular dependiendo de los cambios en los estándares.

Introducción

Las entidades relacionadas con la producción y el aprovisionamiento de tarjetas de pago representan un gran depósito de datos de alto riesgo que exige un programa de seguridad especializado para mitigarlo. Payment Card Industry (PCI) Card Production and Provisioning (PCI Card Production) es un conjunto de estándares publicado por el PCI SSC que definen los criterios de seguridad física y lógica que deben ser implementados durante los procesos de producción y el suministro de tarjetas y dirigido a aquellos proveedores que participan en la fabricación segura de tarjetas y en el aprovisionamiento de información de pago de los clientes en tarjetas y dispositivos móviles (denominados conjuntamente Card Production Entities). La producción de tarjetas incluye la fabricación de las mismas, la codificación y el estampado de la banda magnética, la personalización de las tarjetas, la inicialización, la incrustación y la personalización del chip, el almacenamiento de las tarjetas, el empaquetado, el envío y la distribución. El aprovisionamiento de tarjetas es el proceso de añadir la información de la cuenta del titular a un dispositivo a través de un canal de comunicación por aire o por Internet.

PCI Card Production está compuesto por dos estándares principales:

La versión actual de este estándar es la 2.0, publicada en enero de 2017. En el momento de la publicación de este artículo (septiembre 2021) se está trabajando en la recepción de comentarios (RFC) para la versión 3.0.

Origen

El estándar PCI Card Production, vigente desde mayo del 2013, se creó para cubrir una necesidad latente desde tiempo atrás. Antes de su definición, los fabricantes de tarjetas de pago y otras entidades vinculadas con los procesos de producción y aprovisionamiento de tarjetas debían cumplir con el estándar PCI DSS, que no encajaba del todo con sus especificaciones funcionales. Por este motivo, las diferentes marcas de tarjetas de pago exigían a este tipo de empresas cumplir con su propia normativa, lo que les obligaba a seguir varios programas de seguridad para un mismo propósito, el de producir tarjetas. Hay que tener en cuenta que este tipo de empresas tienen un riesgo muy alto, ya que producen un material muy sensible (tarjetas de pago). Con estos estándares, tanto los requerimientos físicos como los lógicos dentro de todo este proceso serán centralizados en el PCI SSC, lo cual facilitará su integración con otros estándares relacionados y permitirá una adopción más homogénea en las empresas afectadas mejorando los niveles de seguridad relacionados.

 

Aplicabilidad

Como se indicaba anteriormente, PCI Card Production es un conjunto de estándares que cubren los controles físicos y lógicos del proceso de producción y aprovisionamiento de datos de tarjetas de pago y aplican a diferentes organizaciones con base en los servicios que ofrezca:

Figura 1. Aplicabilidad de los estándares PCI Card Production

Es importante aclarar que, a pesar que son dos documentos diferentes (controles lógicos y físicos), no son excluyentes sino complementarios. Una organización puede tener validado su cumplimiento con el estándar físico de PCI Card Production, con el lógico o con ambos.

Por otro lado, aquellas empresas que ofrecen servicios de producción y aprovisionamiento de tarjetas también deben cumplir con PCI DSS. El PCI SSC dentro de sus preguntas de uso frecuente (FAQs) publicó esta entrada (7/7/2009) https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/Do-the-PCI-DSS-requirements-apply-to-card-manufacturers-embossers-card-personalizers-or-entities-that-prepare-data-for-card-manufacturing:

«Do the PCI DSS requirements apply to card manufacturers, embossers, card personalizers, or entities that prepare data for card manufacturing?
FAQ Response: Organizations that participate in data preparation, manufacturing, personalizing, and/or and embossing for plastic cards are considered Service Providers for purposes of PCI DSS and should adhere to PCI DSS. However, some payment brands may already have programs in place that include PCI DSS for entities that prepare data, manufacture, personalize, or emboss plastic cards – we encourage you to check with each payment brand about their requirements for these entities. Please contact the payment brands directly

Por otro lado, el estándar PCI DSS v3.2.1 incluye una nota en el requerimiento 3.2 en la cual aclaran que bajo ciertas circunstancias especiales y justificadas, los emisores de tarjetas pueden almacenar datos confidenciales de autenticación, convirtiendo a estas entidades en una excepción que aún no estaba regularizada:

Requerimiento 3.2 de PCI DSS: «… Nota: Es posible que los emisores de tarjetas y las empresas que respaldan los servicios de emisión almacenen datos confidenciales de autenticación si existe una justificación de negocio y los datos se almacenan de forma segura…»

PCI Card Production and Provisioning Logical Security Requirements Version 2.0

Este documento está orientado hacia sistemas y procesos de negocio tales como personalización de tarjetas, generación de PIN, envío de PIN y distribución de plásticos, definiendo una serie de controles de seguridad lógica mínimos en el proceso de preparación, manufactura, transporte y personalización de tarjetas de pago y sus componentes.

El documento está dividido en las siguientes secciones:

  • Roles y responsabilidades
    • Personal de seguridad de la información
    • Asignación de responsabilidades de seguridad
  • Política de seguridad y procedimientos
    • Política de seguridad de la información
    • Procedimientos de seguridad
    • Planes de respuesta a incidentes y análisis forenses
  • Seguridad de datos
    • Clasificación
    • Cifrado
    • Acceso a datos de titular de tarjeta
    • Transmisión de datos de tarjeta
    • Retención y eliminación de datos de tarjeta
    • Manipulación de medios de almacenamiento
    • Personalización de tarjetas contactless
    • Datos empleados para pruebas
    • Registros de eventos de actividades de aprovisionamiento en móviles
    • Planes de desmantelamiento
  • Seguridad de red
    • Definición de una red típica
    • Requerimientos generales
    • Dispositivos de red
    • Cortafuegos
    • Programas antivirus
    • Acceso remoto
    • Redes inalámbricas
    • Pruebas de seguridad y monitorización
  • Seguridad de sistemas
    • Requerimientos generales
    • Gestión de cambios
    • Configuración y gestión de actualizaciones
    • Logs de auditoría
    • Copias de seguridad y recuperación para redes de aprovisionamiento para móviles
    • Diseño y desarrollo de software
    • Uso de servicios web en interfaces con emisores
    • Implementación de software
  • Gestión de usuarios y sistemas de control de acceso
    • Gestión de usuarios
    • Control de contraseñas
    • Bloqueo de sesiones
    • Bloqueo de cuentas
  • Gestión de claves: datos secretos
    • Principios generales
    • Claves simétricas
    • Claves asimétricas
    • Administración de seguridad en la gestión de claves
    • Generación de claves
    • Distribución de claves
    • Carga de claves
    • Almacenamiento de claves
    • Uso de claves
    • Copia de respaldo y recuperación de claves
    • Destrucción de claves
    • Registros de auditoría en la gestión de claves
    • Compromiso de claves
    • Hardware de seguridad para la gestión de claves (HSM)
  • Gestión de claves: datos confidenciales
    • Principios generales
  • Distribución de PIN mediante métodos electrónicos
    • Requerimientos generales

Payment Card Industry (PCI) Card Production Physical Security Requirements Version 2.0

Este documento define una serie de controles físicos mínimos para empresas que manufacturan, personalizan y graban datos de tarjeta en chip o en banda magnética antes, durante y después de los siguientes procesos:

  • Manufactura de tarjetas
  • Grabación de datos en banda magnética
  • Personalización de tarjetas
  • Inicialización de chip o pre-personalización
  • Grabación de datos en chip
  • Personalización de chip
  • Almacenamiento de tarjetas
  • Envío de tarjetas
  • Servicios de aprovisionamiento en la nube o de elemento seguro (Secure Element – SE)
  • Gestión de personalización over-the-air (OTA), gestión del ciclo de vida y preparación de datos de personalización
  • Gestión de las claves criptográficas asociadas

El documento está dividido en las siguientes secciones:

  • Personal
    • Empleados
    • Guardias
    • Visitantes
    • Proveedores de servicio externo
    • Agentes de vendedores/fabricantes
  • Edificios
    • Estructura externa
    • Seguridad externa
    • Estructura interna y procesos
    • Seguridad interna
    • Plan de contingencia del negocio de vendedores/fabricantes
    • Planes de desmatelamiento
  • Procedimientos de producción y registros de auditoría
    • Limitaciones en pedidos
    • Aprobación de diseños de tarjetas
    • Muestras
    • Materiales y planchas de impresión – Acceso e inventario
    • Tarjetas parcialmente finalizadas
    • Obtención de componentes propietarios
    • Controles de auditoría – manufactura
    • Equipamiento de producción y componentes de tarjetas
    • Tarjetas devueltas/Envío de PIN por correo
    • Procedimientos de destrucción y auditoría
    • Reportes de pérdida y robo
  • Requerimientos de embalaje y entrega
    • Preparación
    • Embalaje
    • Almacenamiento previo al envío
    • Distribución
    • Envío y recepción
    • Definición de responsabilidades por pérdida
  • Impresión de PIN y embalaje de tarjetas prepago no personalizadas

¿Quién puede realizar una evaluación formal de cumplimiento de PCI Card Production?

A principios del año 2020 el PCI SSC puso en marcha el programa Card Production Security Assessor (CPSA) para formar y certificar a las compañías y a los asesores encargados de la evaluación formal de los estándares de PC Card Production. Antes de este programa, eran las marcas de pago las encargadas de gestionar y designar tanto a las compañías como a los asesores autorizados para la evaluación. Al converger los diferentes programas de evaluación de cumplimiento en un único programa (PCI CSPA) se optimiza la coherencia entre las evaluaciones y se garantiza que la orientación y la formación se ajusten al panorama actual de amenazas.

La evaluación de la seguridad en la producción y el aprovisionamiento de tarjetas tiene dos aspectos: el lógico y el físico. Para reflejar estos dos tipos diferentes de evaluación, existen dos tipos de asesores: lógicos y físicos:

  • CPSA-L (Logical Assessors), para la evaluación de cumplimiento del estándar PCI Card Production and Provisioning Logical Security Requirements
  • CPSA-P (Physical Assessors), para la evaluación de cumplimiento del estándar PCI Card Production and Provisioning Physical Security Requirements

La lista de empresas y asesores certificados para la realización de evaluaciones de cumplimiento con PCI Card Production se encuentra aquí: http://www.pcisecuritystandards.org/assessors_and_solutions/card_production_security_assessors.

Por lo general, los pasos que se siguen en una evaluación de cumplimiento de los estándares PCI Card Production son:

  • Programación de la evaluación
  • Preparación de la evaluación
  • Inspección (evaluación) en sitio
  • Documentación de los resultados de la evaluación
  • Presentación de los resultados de la evaluación
  • Remediación de los hallazgos de no conformidad

Reportes de cumplimiento

Al igual que con la mayoría de estándares del PCI Security Standards Council (PCI SSC), el cumplimiento con los estándares PCI Card Production (Physical/Logical) se demuestra mediante dos documentos:

  • PCI Card Production Report on Compliance (RoC)
  • PCI Card Production Attestation of Compliance (AoC)

La validez de estos documentos es de doce (12) meses.

Finalmente, el listado de organizaciones que cumplen con estos estándares está gestionado por cada una de las marcas de pago en sus listados de proveedores certificados:

Referencias

PCI Card Production, aspectos a destacar | Revista SiC Nº 111 Septiembre 2014: https://www.isecauditors.com/sites/default/files/files/SIC111_pci-card-production-guillem-frabregas.pdf

Análisis del Estándar PCI Card Production Versión 1.1: https://www.pcihispano.com/analisis-del-estandar-pci-card-production-version-1-1/


David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS, TSP y PIN.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.