En términos generales, cada vez que se hace una transacción con una tarjeta de pago a través de un datáfono, los datos de dicha tarjeta son transmitidos al centro autorizador de la siguiente manera:

  1. Los datos del PAN de la tarjeta y otra información relacionada (nombre del titular, código de servicio, fecha de expiración) capturados a través de la lectura de banda magnética, la lectura de chip EMV o usando contactless son transmitidos en texto claro.
  2. Los datos del PIN empleado por el titular de la tarjeta para autorizar la transacción son capturados a través de un teclado seguro (PIN Entry Device – PED) y encriptados antes de ser transmitidos (si hay autorización online).

Esto implica que cualquier dispositivo intermedio ubicado entre el datáfono y el centro autorizador (ordenadores, equipos de red, aplicaciones, bases de datos, etc.) podría tener acceso a esta información. Esta operativa es altamente insegura y  ha sido explotada de forma activa por delincuentes durante años. Algunos ejemplos de estos incidentes son los sucedidos en Target, en las cadenas de hoteles Hilton y Trump, en HomeDepot y en las tiendas Forever 21 (por solo citar algunos), a través de ataques de sniffing (captura no autorizada de tráfico), RAM Scraping y malware en TPV (PoS).

Figura 1. Potenciales ataques a los datos de tarjeta transmitidos en una transacción con tarjeta presente

De acuerdo con este escenario, la pregunta obvia sería: ¿Por qué no se encriptan también los datos del PAN, nombre del titular, código de servicio y fecha de expiración? Es aquí en donde entra en escena la solución española “Sistema Nacional de Cifrado de Pistas”, también conocida como “Solución Normalizada de Cifrado de Pista” (SNCP).

¿Qué es SNCP (Sistema Nacional de Cifrado de Pistas)?

Debido al alto riesgo derivado de la transmisión de los datos del PAN y otra información relacionada en texto claro después de su captura en el datáfono, las tres redes de tarjetas españolas (ServiRed, Sistema 4B y Euro 6000) y los tres centros procesadores (SERMEPA, REDY y CECA) diseñaron en 2009 una solución tecnológica bastante interesante basada en la inyección de claves de cifrado en los datáfonos, permitiendo la encriptación de todos los datos de la tarjeta de pago desde el propio datáfono hasta el adquiriente o centro autorizador, quien, a su vez, desencripta estos datos para el procesamiento de la transacción. Es importante aclarar que las claves criptográficas de este modelo son custodiadas exclusivamente por el propio adquirente o procesador y son desconocidas para el comercio, por lo cual este último puede beneficiarse de una minimización del entorno de cumplimiento de PCI DSS y del riesgo asociado a la transmisión de datos de tarjetas en claro, ya que los potenciales ataques de sniffing, RAM scraping y malware de POS (TPV) no serían efectivos en este escenario.

Figura 2. Protección de los datos de tarjeta en transacciones presenciales con SNCP

¿Qué son las categorías y los cuestionarios simplificados de SNCP?

Por temas operativos, muchas veces los comercios necesitan tener acceso a los datos del BIN/IIN (6 primeros dígitos de la tarjeta, que corresponden al número de identificación de la entidad emisora de la tarjeta) para temas de conciliación, gestión de reclamaciones, enrutamiento de transacciones, etc. Por ello, el modelo SNCP permite que este dato sea el único que se pueda transmitir en texto claro.  En este caso, el comercio que hace uso de la solución SNCP se ubica dentro de la categoría 1 (no tiene acceso al PAN en claro) y, de acuerdo con el criterio de SNCP, no requiere reporte de cumplimiento.

No obstante, si el comercio requiere disponer de más de los seis primeros dígitos de la tarjeta en claro, la solución de SNCP se puede configurar para permitir esta excepción. En este caso, el comercio se ubica dentro de la categoría 2, que tienen acceso al PAN en claro. Los comercios en esta categoría requieren demostrar el cumplimiento con una serie de controles de seguridad alineados con el estándar PCI DSS, listados en un documento denominado “Cuestionario Simplificado SNCP”, muy similar al cuestionario de autoevaluación de PCI DSS (SAQ). La solicitud y gestión del reporte de cumplimiento con SNCP están bajo la responsabilidad de la entidad adquiriente con la que se haya contratado el servicio de pago con datáfonos.

Figura 3. Flujograma de aplicabilidad del cuestionario simplificado de SNCP (fuente: RedSys)

¿En qué se diferencia SNCP de P2PE (Point-to-Point Encryption)?

La diferencia principal entre el modelo SNCP y un entorno P2PE (Point-to-point Encryption) radica principalmente en el modelo de encriptación utilizado:

  • En P2PE el dato es desencriptado y re-encriptado en cada punto de la comunicación (comercio al procesador, procesador al centro autorizador). En este caso, no se le permite al comercio la gestión de las claves.
  • En SNCP, el dato es encriptado desde el datáfono hasta el centro autorizador. Este modelo se denomina E2EE (End-To-End-Encryption), en el cual el dato es encriptado desde el momento de su captura hasta el punto final, por lo que cualquier entidad intermedia no tendrá acceso a los datos en claro. La gestión de claves recae en los dos puntos en comunicación.

Hay que tener presente que SNCP es una solución autorizada por las marcas para ser empleada exclusivamente en territorio español y que no está certificada ni listada como una solución P2PE.

Por otro lado, SNCP es una solución que data del año 2009, mientras que el estándar P2PE fue publicado por primera vez en el año 2011. Por ello, los requisitos de seguridad exigidos en P2PE son significativamente más complejos y robustos que los controles de SNCP en términos de hardware de criptografía empleado (HSM), gestión de claves, inyección de claves de encriptación en los datáfonos, gestión física de las terminales de pago, etc.

Ventajas de SNCP

Dependiendo de su implementación, el uso de SNCP trae las siguientes ventajas:

Desventajas de SNCP

Por otro lado, el uso de SNCP trae consigo las siguientes desventajas:

  • Solamente aplica al territorio español (problema con transacciones crossborder).
  • No hay restricciones respecto al uso de dispositivos PIN PAD (no es obligatorio que las terminales cumplan con PCI PTS).
  • Los cuestionarios simplificados de SNCP por lo general no están alineados/actualizados con la versión actual de PCI DSS ni con los modelos de SAQ aplicables a pagos con terminales físicas (SAQ B y SAQ B-IP) y su aplicabilidad depende por lo general del criterio de la entidad adquiriente.
  • Las categorías de los comercios que usan SNCP (categorías 1 y 2) están planteadas en función del acceso o no al dato completo del PAN. Los comercios catalogados bajo la categoria 1 no requieren presentar el cuestionario simplificado de SNCP, por lo que se dejan sin control aquellos riesgos derivados de la seguridad física del terminal de pago vinculados con manipulación no autorizada o “skimming” y cubiertos en el requisito 9.9 de PCI DSS.
  • Los requisitos de homologación son menos restrictivos que los exigidos por P2PE, por lo que la seguridad global aportada por SNCP es significativamente menor que la de P2PE.
  • Hay poca información respecto a procesos de homologación, implementación, gestión de terminales, gestión de incidentes, integración, etc.
  • A pesar de ser una solución de seguridad bastante adelantada en el momento de su desarrollo inicial en el año 2009, la solución SNCP se está quedando obsoleta respecto a otros estándares como P2PE y aún no se han anunciado fechas de migración o alineación, lo cual puede convertirse en un problema a futuro dependiendo de las decisiones que tomen las marcas de pago.

Conclusión

Para miminizar el riesgo de captura no autorizada de datos de tarjetas de pago en transacciones presenciales (“card present”), las principales redes de procesamiento españolas desarrollaron SNCP (“Sistema Nacional de Cifrado de Pistas”), un sistema que permite la encriptación de los datos de tarjeta capturados desde el terminal de pago hasta el centro autorizador. Este modelo permite garantizar que ningún tercero (incluyendo los comercios que hacen uso de la solución) puedan tener acceso a los datos en claro, minimizando de forma sustancial el riesgo de acceso no autorizado a esta información. El uso de SNCP está ampliamente masificado en España, aunque actualmente ya existen estándares específicos más robustos para la protección de los datos de tarjetas de pago empleando criptografía: PCI P2PE.