Uno de los elementos más críticos dentro de la cadena transaccional con tarjeta presente son los dispositivos de punto de interacción (“Point of interaction”) que permiten la captura de los datos de la tarjeta de pago (ya sea mediante la lectura de la banda magnética, el chip EMV o vía contactless) y los datos de autenticación (PIN). Debido a ello, el PCI Security Standards Council (PCI SSC) ha establecido una serie de requerimientos de seguridad a los fabricantes de estos dispositivos dentro del programa PIN Transaction Security (PTS), cubriendo las áreas de seguridad física, seguridad lógica, gestión de los dispositivos y carga de claves de encriptación.

Para cubrir con estos requerimientos, cada fabricante debe contactar con un laboratorio especializado que se encarga de ejecutar las homologaciones pertinentes, válidas durante un tiempo establecido (por lo general 5 años). Cuando el resultado de la evaluación ha sido satisfactorio, la información del fabricante, el modelo del dispositivo (hardware) y la versión de firmware y de aplicaciones instaladas de fábrica es enviada al PCI SSC para ser publicada en la lista de dispositivos PTS aprobados.

Para aclarar estos puntos, en noviembre de 2018 el PCI SSC publicó un boletín informativo en el que notificaban a los comercios, proveedores de servicio y entidades financieras respecto a la necesidad de garantizar que los terminales de pago cumplan con los requisitos de seguridad y que se encuentren en la lista de dispositivos PTS aprobados. Igualmente, informa a los fabricantes de estos dispositivos de que no pueden efectuar modificaciones unilaterales a nivel de hardware y software sin que estas sean evaluadas por un laboratorio aprobado.

Ahora, aquí viene la parte interesante: Se requiere que todos los dispositivos de punto de interacción (comúnmente denominados “datáfonos“) en un entorno PCI DSS se encuentren dentro de  la lista de dispositivos PTS aprobados. Si un dispositivo no está listado, o su información de hardware, software o componentes adicionales no coincide con los datos publicados por el PCI SSC, o la fecha de validez de su certificación está expirada, dicho dispositivo debe ser removido inmediatamente y debe ser remplazado por otro que sí esté listado.

Es muy importante también tener presente que la exigencia de cumplimiento de los terminales de pago con el programa PCI PTS es fundamental para que se pueda presentar un cuestionario de autoevaluación (SAQ) B-IP por parte de los comercios:

De igual manera, aquellas empresas que se estén planteando adquirir o renovar su parque de terminales, deben exigirle a los fabricantes y/o a los vendedores que estos equipos estén dentro de los listados del PCI SSC.

Ejemplo de verificación de cumplimiento de un dispositivo de interacción (datáfono) con PCI PTS

Con el fin de instruir a los comercios y a otras entidades con las tareas de verificación de cumplimiento de los terminales, a continuación se listarán los pasos necesarios para esta tarea.

    1. Identificar el modelo de hardware del terminal de pago (o punto de interacción): Por lo general, todos estos dispositivos cuentan con una etiqueta en donde se describe el modelo y la versión de hardware.

    1. Ir a la página del PCI SSC de dispositivos aprobados PTS (“Approved PTS Devices”) y buscar por el nombre del producto o por el fabricante: Con la información del modelo de hardware, ir a  https://www.pcisecuritystandards.org/assessors_and_solutions/pin_transaction_devices y hacer la búsqueda o por el nombre del producto o por el fabricante. En este caso, se hará la búsqueda por el nombre del producto (IPP320):

  1. Comparar: En este caso, el modelo del datáfono es IPP320-01T1358A. Como se puede observar en los resultados de la búsqueda, los modelos homologados son los IPP320-21Txxxxx/31Txxxxx/41Txxxxx/51Txxxxx (las “x” son valores comodín, cualquier valor en dicha posición es irrelevante).

Conclusión: El dispositivo no está homologado y se debe retirar de producción de forma inmediata.

NOTA: En el caso de que el modelo de hardware sí se encuentre listado, es necesario hacer las mismas verificaciones a nivel de firmware y componentes adicionales, por lo general interactuando con el equipo. Para ello, muchos de los dispositivos listados incluyen una política de seguridad (“security policy”) con instrucciones adicionales de verificación. En el caso de los dispositivos IPP, la política de seguridad ya incluye estas tareas:

Si hay dudas en estas tareas, debe comunicarse con la entidad que le ha vendido y/o alquilado los terminales de pago no homologados para solicitar mayor información o un remplazo inmediato de terminales o con un asesor QSA, que podrá ayudar en el proceso de revisión de cumplimiento.