El pasado mes de abril, el PCI Security Standards Council publicó la versión 1.1 del estándar «PCI Point-to-Point Encryption» y como ya comentamos la primera versión, vamos ahora a comentar esta nueva edición. Fundamentalmente, la nueva versión del estándar, además de modificar algunos requerimientos (que veremos luego), incluye ya los procedimientos de prueba para los QSA homologados para P2PE (recordaréis que no todos valen, han debido acreditarse específicamente para este estándar):
- 82 procedimientos para el Dominio 1 – Cifrado del dispositivo.
- En el Dominio 2- Seguridad de las aplicaciones, tenemos 79 procedimientos en el caso del proveedor de la aplicación y 39 para el proveedor de la solución.
- 155 procedimientos en el Dominio 3 – Entorno de cifrado.
- El Dominio 4 – Segmentación entre entornos de cifrado y descifrado, como sabéis, no aplica para las soluciones hardware – hardware cubiertas por este estándar.
- 149 procedimientos en el Dominio 5 – Entorno de descifrado y gestión de dispositivos.
- Y, finalmente, 224 procedimientos en el Dominio 6 – Operaciones de claves criptográficas.
- A los que hay que añadir 200 requerimientos para el caso de Distribución de Claves Simétricas utilizando Técnicas Asimétricas (anexo A) o 37 en el caso de Instalaciones de Inyección de Claves (anexo B).
Es decir, que según sea la solución y el anexo que le aplique, podemos encontrarnos entre… ¡¡765 y 928 procedimientos de prueba!! [caray, ¿estamos seguros de que P2PE «simplifica» el proceso de cumplimiento?]. Aunque los detalles los tenéis en un documento que ha publicado el Council al efecto, nos gustaría resaltar los siguientes:
- Se ha mejorado la estructura del documento con nuevos apartados, como los de definición de dispositivos criptográficos seguros, características que deben reunir los comercios para ver el alcance de PCI DSS reducido, las responsabilidades del comercio, la segmentación de la red o la definición del alcance de las evaluaciones de soluciones P2PE.
- Para ver reducido el alcance, se han añadido algunas condiciones a los comercios (nunca procesar datos en claro en el entorno P2PE, establecer controles físicos sobre los terminales, seguir el manual del fabricante y eliminar / aislar sistemas legacy).
- En el dominio 3 se ha incluido un nuevo requerimiento, el 3C – Mantener un Manual de Instrucciones P2PE para comercios (aplicable a los fabricantes).
- En el dominio 5, también hay dos requerimientos nuevos: el 5A – Utilizar dispositivos de descifrado aprobados y el 5D – Mantener un entorno seguro de descifrado.
- En el dominio 1, se han añadido nuevos requisitos relacionados con las funciones SRED (secure reading and exchange of data) para asegurar que solo permite el envío de datos cifrados y que no puede ser desactivada por el comercio.
- También se han aumentado los requisitos en cuanto a necesidad de registros de pistas de auditoría.
- Se han aumentado los requisitos en cuanto a la seguridad de las aplicaciones incluidas en el dispositivo, tanto en cuanto al código como a otras posibles aplicaciones en el dispositivo.
- Los dominios 2 y 3 han incorporado información para facilitar la elaboración de las Guías de Implantación de las soluciones P2PE.
- Se han incluido requerimientos concretos para que, en caso de fallo del dispositivo, sea necesario que el comercio cese en la utilización de la solución (denominado, opt-out).
- También hay mayor detalle en cuanto a los requisitos que se han de cumplir para verificar que los dispositivos no han sido manipulados, así como su gestión, en caso de devoluciones.
- Se detallan los requisitos para las claves mantenidas en papel.
- Los requisitos de seguridad física en el centro de operaciones de procesamiento de certificados se han reorganizado definiendo medidas claramente diferenciadas en tres niveles (entrada a las instalaciones – acceso a las instalaciones de la AC y acceso al CPD).
Aunque puedan parecer muchos cambios, en realidad el estándar es, básicamente, el mismo con algunas mejoras y aclaraciones, y obviamente, algún nuevo requerimiento.
Puedes seguirnos en twitter.com/enplusone.