Una visión general de los requerimientos de seguridad para la producción de tarjetas de pago

Como respuesta a una necesidad que se venía presentando desde hace bastante tiempo, el PCI SSC ha publicado el 9 de Mayo de 2013 dos nuevos documentos:
Estos nuevos requerimientos están dirigidos específicamente para empresas que se dedican a estampación de tarjetas de pago (plásticos),  personalización de tarjetas y grabación de datos tanto en banda magnética como en chip. Inicialmente, estos requerimientos eran gestionados independientemente por cada marca, siendo ahora centralizados y alineados con las políticas del PCI SSC.

¿Cuál es el objetivo de estos requerimientos?

Debido a que por efectos operativos las empresas involucradas en el proceso de estampación y grabación de datos en tarjetas de pago almacenan y procesan información de datos del titular de la tarjeta y datos confidenciales de autenticación, el potencial riesgo que presentan frente a un robo de información y uso fraudulento es muy alto. Cada una de las marcas había desarrollado su propio conjunto de requerimientos, pero el cumplimiento de PCI DSS de estas empresas no estaba del todo claro. El PCI SSC dentro de sus FAQ (https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/Do-the-PCI-DSS-requirements-apply-to-card-manufacturers-embossers-card-personalizers-or-entities-that-prepare-data-for-card-manufacturing) publicó esta entrada (7/7/2009):
Do the PCI DSS requirements apply to card manufacturers, embossers, card personalizers, or entities that prepare data for card manufacturing?
FAQ Response: Organizations that participate in data preparation, manufacturing, personalizing, and/or and embossing for plastic cards are considered Service Providers for purposes of PCI DSS and should adhere to PCI DSS. However, some payment brands may already have programs in place that include PCI DSS for entities that prepare data, manufacture, personalize, or emboss plastic cards – we encourage you to check with each payment brand about their requirements for these entities. Please contact the payment brands directly.”
Por otro lado, el estándar PCI DSS v2 agregó una nota en el requerimiento 3.2 en la cual aclaran que bajo ciertas circunstancias especiales y justificadas, los emisores de tarjetas pueden almacenar datos confidenciales de autenticación, convirtiendo a estas entidades en una excepción que aún no estaba regularizada:
Requerimiento 3.2 de PCI DSS:… Nota: Es posible que los emisores de tarjetas y las empresas que respaldan los servicios de emisión almacenen datos confidenciales de autenticación si existe una justificación de negocio y los datos se almacenan de forma segura… "
Con estos nuevos documentos, tanto los requerimientos físicos como los lógicos dentro de todo este proceso serán centralizados en el PCI SSC, lo cual facilitará su integración con estándares relacionados y permitirá una adopción más homogénea en las empresas afectadas mejorando los niveles de seguridad relacionados. Adicionalmente, estos requerimientos entrarán dentro del mismo ciclo de vida de los estándares del PCI SSC con actualizaciones cada tres años.

Es importante aclarar que a pesar que son dos documentos diferentes (controles lógicos y físicos) no son excluyentes, son complementarios.

Payment Card Industry (PCI) Card Production Logical Security Requirements Version 1.0
Este documento está orientado hacia sistemas y procesos de negocio tales como personalización de tarjetas, generación de PIN, envío de PIN y distribución de plásticos, definiendo una serie de controles de seguridad lógica mínimos en el proceso de preparación, manufactura, transporte y personalización de tarjetas de pago y sus componentes.

El documento está dividido en las siguientes secciones:
Roles y responsabilidades
  • Personal de seguridad de la información
  • Asignación de responsabilidades de seguridad
Política de seguridad y procedimientos
  • Política de seguridad de la información
  • Procedimientos de seguridad
  • Planes de respuesta a incidentes y forenses
Seguridad de datos
  • Clasificación
  • Cifrado
  • Acceso a datos de titular de tarjeta
  • Transmisión de datos de tarjeta
  • Retención y eliminación de datos de tarjeta
  • Manipulación de medios de almacenamiento
  • Personalización de tarjetas contactless
Seguridad de red
  • Definición de una red típica
  • Requerimientos generales
  • Dispositivos de red
  • Cortafuegos
  • Programas antivirus
  • Acceso remoto
  • Redes inalámbricas
  • Pruebas de seguridad y monitorización
Seguridad de sistemas
  • Requerimientos generales
  • Gestión de cambios
  • Configuración y gestión de actualizaciones
  • Logs de auditoría
  • Diseño y desarrollo de software
  • Implementación de software
Gestión de usuarios y sistemas de control de acceso
  • Gestión de usuarios
  • Control de contraseñas
  • Bloqueo de sesiones
  • Bloqueo de cuentas
Gestión de claves: datos secretos
  • Principios generales
  • Claves simétricas
  • Claves asimétricas
  • Administración de seguridad en la gestión de claves
  • Generación de claves
  • Distribución de claves
  • Carga de claves
  • Almacenamiento de claves
  • Uso de claves
  • Copia de respaldo y recuperación de claves
  • Destrucción de claves
  • Registros de auditoría en la gestión de claves
  • Compromiso de claves
  • Hardware de seguridad para la gestión de claves (HSM)
Gestión de claves: datos confidenciales
  • Principios generales
Distribución de PIN mediante métodos electrónicos
  • Requerimientos generales
Payment Card Industry (PCI) Card Production Physical Security Requirements Version 1.0
Este documento define una serie de controles físicos mínimos para empresas que manufacturan, personalizan y graban datos de tarjeta en chip o en banda magnética antes, durante y después de los siguientes procesos:
  • Manufactura de tarjetas
  • Grabación de datos en banda magnética
  • Personalización de tarjetas
  • Inicialización de chip o pre-personalización
  • Grabación de datos en chip
  • Personalización de chip
  • Almacenamiento de tarjetas
  • Envío de tarjetas
El documento está dividido en las siguientes secciones: Personal
  • Empleados
  • Guardias
  • Visitantes
  • Proveedores de servicio externo
  • Agentes de vendedores/fabricantes
Edificios
  • Estructura externa
  • Seguridad externa
  • Estructura interna y procesos
  • Seguridad interna
  • Plan de contingencia del negocio de vendedores/fabricantes
Procedimientos de producción y registros de auditoría
  • Limitaciones en pedidos
  • Aprobación de diseños de tarjetas
  • Muestras
  • Materiales y planchas de impresión – Acceso e inventario
  • Tarjetas parcialmente finalizadas
  • Obtención de componentes propietarios
  • Controles de auditoría – manufactura
  • Equipamiento de producción y componentes de tarjetas
  • Tarjetas devueltas/Envío de PIN por correo
  • Procedimientos de destrucción y auditoría
  • Reportes de pérdida y robo
Requerimientos de embalaje y entrega
  • Preparación
  • Embalaje
  • Almacenamiento previo al envío
  • Distribución
  • Envío y recepción
  • Definición de responsabilidades por pérdida
Impresión de PIN y embalaje de tarjetas prepago no personalizadas
Al igual que todos los documentos del PCI SSC, estos requerimientos están publicados en la sección “Documents Library” de la página del Council: https://www.pcisecuritystandards.org/security_standards/documents.php.

REFERENCIAS

www.pcihispano.com


Autor: David Eduardo Acosta - CISSP, CISA, CISM, PCI QSA, CCNA Security, OPST, CHFI Instructor, BS25999 Lead
Departamento de Consultoría