PCI Point-to-Point Encryption Solution Requirements

El pasado mes de septiembre, el PCI Council liberó la versión inicial de los requerimientos [enlace] en materia de cifrado, descifrado y gestión de claves para los dispositivos criptográficos seguros de las soluciones de cifrado punto a punto (o P2PE por su acrónimo en inglés, point-to-point encryption) basadas en un esquema hardware / hardware (es […]

El pasado mes de septiembre, el PCI Council liberó la versión inicial de los requerimientos [enlace] en materia de cifrado, descifrado y gestión de claves para los dispositivos criptográficos seguros de las soluciones de cifrado punto a punto (o P2PE por su acrónimo en inglés, point-to-point encryption) basadas en un esquema hardware / hardware (es decir, que tanto el cifrado como el descifrado lo realiza un elemento hardware).

El objetivo del PCI Council es proporcionar requisitos de seguridad, procedimientos de prueba, formación a asesores (comienzo de 2012) y recursos para ayudar el desarrollo de soluciones de este tipo (listado de soluciones aprobadas previsto para primavera de 2012) [ya nos habrían venido bien cuando evaluamos la SNCP]

Antes de entrar en los requerimientos que establece el documento, resaltamos algunos aspectos del documento que nos han resultado interesantes:

  • Los dispositivos criptográficos seguros (SCD – Secure Cryptographic Devices) serán módulos de seguridad hardware (HSM) aprobados y configurados conforme a FIPS 140-2 (nivel 3 o superior) o al estándar PCI HSM.
  • Los comercios que utilicen una solución P2PE para la reducción del alcance de PCI DSS, pueden almacenar el PAN durante el proceso necesario para finalizar la transacción de pago (por ejemplo, transacciones offline); pero, siempre, los datos sensibles de autenticación no se almacenan tras la autorización.
  • Es importante destacar que esta reducción del alcance no elimina ni sustituye totalmente las obligaciones de validación de cumplimiento con PCI DSS de los comercios (por ejemplo, la formación del personal, las políticas de seguridad, las relaciones con terceros, los procedimientos de escalado y respuesta a incidentes o la seguridad física y de los soportes seguirán siéndoles de aplicación).
  • Dado que los requerimientos de validación de PCI DSS dependen de las marcas, las entidades deben consultar con sus adquirentes y/o las marcas para verificar sus requerimientos de validación específicos.
  • La validación de cumplimiento reducida de PCI DSS por el uso de soluciones P2PE consiste en:
    • Realización de auto-evaluación por el comercio o evaluación insitu por QSA
    • Informe de validación conforme al programa de cumplimiento de las marcas (SAQ, ROC and/or AOC)
    • Atestado del comercio de ser elegible para validación reducida por el uso de solución hardware/hardware de P2PE
    • Garantía del comercio de cumplir con el manual de instrucciones de P2PE
    • Atestado del comercio de cumplimiento con los requerimientos de PCI DSS aplicables
    • Garantía del comercio de rigor de la validación de cumplimiento (en particular, la inexistencia de datos sensibles de autenticación)

En cuanto a los requerimientos, se identifican seis dominios:

  1. Dispositivo de cifrado.  Supone la construcción de un dispositivo seguro como punto de interacción (POI – Point of interaction), así como la gestión segura y la protección de esos dispositivos durante su fabricación y entrega [2 requerimientos y 14 procedimientos de validación].
  2. Seguridad en aplicación. Los SCDs pueden incluir aplicaciones que deben ser validadas para asegurar que operan de manera segura, para lo que deben ser acreditadas por un P2PE PA-QSA. También deben serlo aquellas aplicaciones que utilicen el mismo mecanismo de autenticación porque tendrían acceso potencial a los datos sensibles. Finalmente, también puede utilizarse el mismo dispositivo para procesar tarjetas de fidelización siempre que exista un mecanismo seguro para discernir entre este tipo de tarjetas y las financieras [3 requerimientos y 21 procedimientos de validación].
  3.  Entorno de cifrado. El único sistema del comercio que almacene, procese o transmita datos de titulares debe ser un dispositivo POI aprobado por PCI que aisle todos los datos de la cuenta del entorno del comercio [2 requerimientos y 39 procedimientos de validación].
  4. Transmisiones entre los entornos de cifrado y descifrado. Este dominio no es aplicable a este tipo de soluciones. Incluiría segregación de tares y funciones y prevención frente al uso de las claves de descifrado en el entorno de cifrado.
  5. Entorno de descifrado. Para asegurar que estos sistemas son desarrollados y operados de manera segura, este entorno y los procedimientos de gestión de claves deben realizar una evaluación de cumplimiento anual respecto a PCI DSS. Incluye requerimientos relacionados, sobre todo con, la monitorización y el seguimiento de los dispositivos utilizados [3 requerimientos y 39 procedimientos de validación].
  6. Operación de claves criptográficas. Este dominio incluye las medidas necesarias para gestionar las claves de manera segura y evitar que la vulneración de un único POI comprometa la seguridad de todo el sistema. Los procedimientos reflejados no dejan de ser el reflejo de las mejores prácticas reconocidas en el sector, así que no deberemos esperar grandes novedades, reconociéndose múltiples tipos de cifrado como válidos (tanto simétricos como asimétricos), pero exigiendo siempre que se realicen determinados procedimientos de gestión segura de claves [6 requerimientos y 71 procedimientos de validación].
    Adicionalmente, se hacen referencia a dos anexos. El anexo A que recoge los requerimientos para la distribución de claves simétricas utilizando técnicas asimétricas [2 requerimientos y 43 procedimientos de validación] y el anexo B para aquellas entidades que realizan la inyección de claves en los POI [1 requerimiento y 5 procedimientos de validación].

En resumen, un documento que recoge, en total, 19 requerimientos y 232 procedimientos de validación (!!!)… parece que no va a ser trivial contar con una solución de este tipo, ¿no?

Puedes seguirnos en twitter.com/enplusone