Uno de los elementos más críticos dentro de la cadena transaccional con tarjeta presente son los dispositivos de punto de interacción (Point-of-Interaction) que permiten la captura de los datos de la tarjeta de pago (ya sea mediante la lectura de la banda magnética, el chip EMV o vía contactless) y los datos de autenticación (PIN). Debido a ello, el PCI Security Standards Council (PCI SSC) ha establecido una serie de requerimientos de seguridad a los fabricantes de estos dispositivos dentro del programa PIN Transaction Security (PTS) Point-of-Interaction (POI) – actualmente en su versión 6.0 – cubriendo las áreas de seguridad física, seguridad lógica, gestión de los dispositivos y carga de claves de encriptación.

Para cubrir con estos requerimientos, cada fabricante debe contactar con un laboratorio especializado que se encarga de ejecutar las homologaciones pertinentes, válidas durante un tiempo establecido (por lo general 5 años). Cuando el resultado de la evaluación ha sido satisfactorio, la información del fabricante, el modelo del dispositivo (hardware) y la versión de firmware y de aplicaciones instaladas de fábrica es enviada al PCI SSC para ser publicada en la lista de dispositivos PTS POI aprobados.

Para aclarar estos puntos, en noviembre de 2018 el PCI SSC publicó un boletín informativo en el que notificaban a los comercios, proveedores de servicio y entidades financieras respecto a la necesidad de garantizar que los terminales de pago cumplan con los requisitos de seguridad y que se encuentren en la lista de dispositivos PTS aprobados. Igualmente, informa a los fabricantes de estos dispositivos de que no pueden efectuar modificaciones unilaterales a nivel de hardware y software sin que estas sean evaluadas por un laboratorio aprobado.

Ahora, aquí viene la parte interesante: Se requiere que todos los dispositivos de punto de interacción (comúnmente denominados «datáfonos«) en un entorno PCI DSS se encuentren dentro de la lista de dispositivos PTS POI aprobadosSi un dispositivo no está listado, o su información de hardware, software o componentes adicionales no coincide con los datos publicados por el PCI SSC, o la fecha de validez de su certificación está expirada, es imprescindible revisar las políticas de cada una de las marcas de pago respecto a los plazos y acciones a seguir con este tipo de dispositivos.

Es muy importante también tener presente que la exigencia de cumplimiento de los terminales de pago con el programa PCI PTS es fundamental para que se pueda presentar un cuestionario de autoevaluación (SAQ) B-IP por parte de los comercios:

De igual manera, aquellas empresas que se estén planteando adquirir o renovar su parque de terminales, deben exigirle a los fabricantes y/o a los vendedores que estos equipos estén dentro de los listados del PCI SSC.

Requerimientos de hardware y fechas de expiración y uso de acuerdo con VISA

Cuando la fecha de la certificación PCI PTS POI de un dispositivo POI en particular ha llegado a su fin, son las marcas de pago las que definen las acciones que se deben aplicar a partir de ese momento.

Para el caso de VISA, dichas acciones se encuentran descritas en el anexo B de la guía del Programa de Seguridad de VISA PIN (clic para ampliar):

Como se puede observar, cada fila indica el tipo de evaluación y/o la versión del estándar PCI PTS POI empleada y en cada columna de la tabla se indica:

  • PED Type: El tipo de dispositivo afectado:
    • Point-of-Sale (POS) atendidos (generalmente denominados «datáfonos») o desatendidos (ubicados en kioscos, gasolineras, etc.)
    • Encrypted PIN Pad (EPP) en cajeros electrónicos y/o POS
  • PED Security Approval Expiration Date: La fecha de expiración de la certificación PCI PTS POI del dispositivo, conforme aparece en la lista de dispositivos PTS POI aprobados del PCI SSC.
  • Purchase Requirements: Si se permite o no su compra. En algunos casos, no se permite la compra de nuevos dispositivos del mismo modelo después de la fecha de expiración y en otros simplemente la compra ya no está autorizada.
  • Deployment Requirement / Usage Requirement: Si se permite o no su despliegue en comercios o su uso. En algunos casos, se permite el uso únicamente si el dispositivo ha sido comprado ANTES de la fecha de expiración.
  • Sunset / Retire Mandates: Fecha de retirada obligatoria del dispositivo. A partir de esta fecha el dispositivo será catalogado como obsoleto y no podrá ser usado.

Ejemplo de verificación de cumplimiento de un dispositivo de interacción (datáfono) con PCI PTS

Con el fin de instruir a los comercios y a otras entidades con las tareas de verificación de cumplimiento de los terminales, a continuación se listarán los pasos necesarios para esta tarea.

1. Identificar el modelo de hardware del terminal de pago (o punto de interacción): Por lo general, todos estos dispositivos cuentan con una etiqueta en donde se describe el modelo y la versión de hardware.

2. Ir a la página del PCI SSC de dispositivos aprobados PTS («Approved PTS Devices») y buscar por el nombre del producto o por el fabricante: Con la información del modelo de hardware, ir a  https://www.pcisecuritystandards.org/assessors_and_solutions/pin_transaction_devices y hacer la búsqueda o por el nombre del producto o por el fabricante. En este caso, se hará la búsqueda por el nombre del producto (IPP320):

3. Comparar: En este caso, el modelo del datáfono es IPP320-11T2390A. Como se puede observar en los resultados de la búsqueda, el modelo certificado es el IPP320-11Txxxxx (las «x» son valores comodín, cualquier valor en dicha posición es irrelevante).

Conclusión:

  • El dispositivo se encuentra certificado en la versión 3.0 de PCI PTS POI.
  • La fecha de expiración de su certificación es el 30 de abril de 2021.
  • De acuerdo con VISA, a partir del 1 de mayo de 2021 no se podrán adquirir nuevos dispositivos de este modelo de datáfono.
  • Los dispositivos desplegados en comercios ANTES del 30 de abril de 2021 podrán seguir siendo usados hasta el 31 de diciembre de 2030.

NOTA: En el caso de que el modelo de hardware se encuentre listado, es necesario hacer las mismas verificaciones a nivel de firmware y componentes adicionales, por lo general interactuando con el equipo. Para ello, muchos de los dispositivos listados incluyen una política de seguridad («security policy») con instrucciones adicionales de verificación. En el caso de los dispositivos IPP, la política de seguridad ya incluye estas tareas:

Si hay dudas en estas tareas, debe comunicarse con la entidad que le ha vendido y/o alquilado los terminales de pago no homologados para solicitar mayor información o un remplazo inmediato de terminales o con un asesor QSA, que podrá ayudar en el proceso de revisión de cumplimiento.


David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS, TSP y PIN.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.