Internet Security Auditors se ha convertido en la primera
empresa iberoamericana en obtener la acreditación del PCI SSC como P2PE
(Point-to-Point Encryption) y 3DS Assesor en Europa y Latinoamérica y Caribe.
Este es un nuevo hito para la compañía, que tras sus
homologaciones como QSA y ASV el año 2007, PA-QSA el año 2010, consigue dos
nuevas certificaciones que permitirán a la compañía llevar a cabo procesos de
certificación del cumplimiento de los empresas que quieran certificar sus
soluciones y servicios bajo los dos estándares del PCI SSC, P2PE y 3DS en los
que ya estaba realizando procesos de asesoramiento para el alineamiento a
clientes en los países donde tiene clientes del sector de medios de pago.
El estándar de P2PE (PCI Point-to-Point Encryption)
publicado en su versión 2.0 en septiembre de 2015 garantiza que los sistemas y
aplicaciones que ofrecen proveedores de servicio a comercios cumplen con
estrictos requerimientos de seguridad establecidos por este estándar y tiene
como principal objetivo simplificar y facilitar el cumplimiento de PCI DSS a
comercios mediante el uso de soluciones de cifrado punto a punto. Este estándar
ha ido estableciéndose como el referente en soluciones de cifrado desde los puntos
de pago hasta los procesadores o entidades adquirientes de forma creciente dado
que supone un beneficio importante en la simplificación del cumplimiento de los
requerimientos de la norma PCI DSS para los comercios además de la protección
de la información y, por tanto, la reducción del riesgo en el compromiso de la
información de datos de pago y reducción del posible fraude asociado a éste.
El estándar 3DS (PCI 3-D Secure) es uno de los últimos
estándares de seguridad gestionados por el PCI SSC, publicado en su versión 1.0
en octubre de 2017, y posiblemente todavía uno de los más desconocidos. Éste
define los requerimientos que deben ser implementados tanto a nivel lógico como
físico y que están determinados por el EMV® 3-D Secure Protocol and Core Functions
Specification y que incluye los 3 componentes principales de dicho estándar que
son 3DS Server (3DSS), 3DS Directory Server (DS) y 3DS Access Control Server
(ACS). El PCI 3DS define los requerimientos de seguridad que se deben
implementar en los entornos donde transacciones 3DS tienen lugar y serán las
marcas de tarjetas las que establecerán la necesidad de validación a las
entidades que gestionan este tipo de operaciones.
En próximos artículos iremos profundizando en ambos
estándares y otros nuevos que el PCI SSC publicará durante este año, que
supondrán un cambio importante para proveedores de servicios de pago y
fabricantes de aplicaciones de pago.