A continuación se realiza un análisis de la norma
PCI P2PE (
PCI Point-to-Point Encryption) establecida por el
PCI SSC, la cual permite reducir el ámbito de cumplimiento de la norma
PCI DSS en comercios. La norma
PCI P2PE se basa en el proceso que comprende el cifrado de datos en el punto de interacción con el poseedor de la tarjeta (generalmente un comercio), hasta que los datos alcanzan el entorno de descifrado gestionado por un proveedor de servicios.
Este proceso incluirá tanto el método de cifrado desde el terminal de punto de venta (
POI) como el descifrado para el envío a los organismos autorizadores del pago, incluyendo la seguridad de los sistemas y aplicaciones que intervienen en dicho proceso así como la gestión de las claves de cifrado y descifrado.
En primer lugar aclarar que el hecho de que un comercio utilice una solución certificada como
P2PE, no le exime de cumplir
PCI DSS con los requisitos que le sean de aplicación y remitidos por su banco adquiriente (en función de los niveles de servicio), aunque sí reducir en gran medida su ámbito de cumplimiento. Esto se explica debido a que, en muchos casos, los comercios tienen que tratar tarjetas físicas en mano o pueden recibir datos de tarjeta a través de otros canales distintos del definido para
P2PE como por ejemplo a través del teléfono. Además, al comercio se le requerirán otros requisitos en relación con:
- La protección física de los POI (Point of Interaction)
- No almacenar datos sensibles fuera de los POI
- Políticas y procedimientos adecuados por parte del comercio
- Mantenimiento de acuerdos con terceros (en caso de ser necesario)
- Seguir el documento P2PE Instruction Manual (PIM) que tiene que ser provisto por el proveedor P2PE al comercio y que establece como implantar y mantener los dispositivos POI.
- Segmentar adecuadamente entorno P2PE del resto de entornos.
En relación con la certificación
P2PE para proveedores de servicio, hay dos tipos de sistemas en función del entorno de descifrado utilizado:
- P2PE Hardware/Hardware: cuando las operaciones de cifrado se realizan dentro del POI y las operaciones de descifrado se realizan dentro de un HSM.
- P2PE Hardware/Hybrid: cuando las operaciones de cifrado se realizan dentro del POI y las operaciones de descifrado se realizan a través de software fuera de un HSM (aunque utilice un HSM para almacenar las claves).
Actualmente el escenario más habitual es Hardware/Hardware cuyas características son las siguientes:
- Utilización de un dispositivo hardware seguro (SCD – Secure Cryptographic Devide) en ambos extremos.
- Solución proporcionada por un proveedor (adquiriente, procesador, pasarela de pagos) – Third Party
En función del tipo de entorno de descifrado utilizado, habrá variación en algunos de los requisitos aplicados en el dominio 5 “
Entorno de Descifrado” (los dominios se especifican de forma esquemática más adelante)
Hay una relación muy estrecha entre los requisitos solicitados por
P2PE con respecto al resto de normas establecidas por el
PCI SSC tal y como se detalla a continuación:
- Los dispositivos POI utilizados para lectura de tarjetas deben estar incluidos en las listas del PCI SSC como dispositivos aprobados por PCI PTS con la función SRED (Secure Reading and Exchange of Data): https://www.pcisecuritystandards.org/approved_companies_providers/validated_p2pe_solutions.php
- Las prácticas de gestión de claves para cifrado y descifrado de datos de tarjeta debe realizarse siguiendo los criterios de PTS PIN.
- Las aplicaciones en los dispositivos POI deben cumplir con los requisitos de PA-DSS. Una matización importante al respecto es que, en el caso de haber varias aplicaciones dentro del mismo POI, deben ser evaluadas todas (incluidas las que no accedan a datos de tarjeta).
- El entorno de descifrado cumple con los requisitos de la norma PCI DSS.
Aunque no es necesario estar certificado del resto de normas para cumplir con
P2PE, sí ayudan a reducir el entorno de cumplimiento (y por lo tanto al ámbito de la auditoría anual). Un caso distinto será el referido a los
terminales de venta (
POI) que sí deben aparecer en las listas del
PCI SSC como dispositivos homologados.
Estos requisitos están incluidos dentro de los dominios establecidos para la norma
P2PE para la obtención de la certificación:
- Dominio 1: Dispositivos criptográficos (POI, HSM)
- Dominio 2: Aplicaciones en dispositivos POI (En las listas del PCI SSC se establecen aplicaciones que cumplen con los requisitos establecidos para P2PE): https://www.pcisecuritystandards.org/approved_companies_providers/validated_p2pe_applications.php
- Dominio 3: Entorno de cifrado del comercio
- Dominio 4: Segmentación entre dominios de cifrado y descifrado
- Dominio 5: Entorno de descifrado (En el caso de que el entorno de descifrado no este certificado como PCI DSS, será requerido un análisis de dicho entorno según los criterios de la norma P2PE que le son de aplicación.
- Dominio 6: Administración de claves P2PE
- Anexo A: Requerimientos para distribución de claves simétricas utilizando métodos asimétricos
- Anexo B: Operaciones de cifrado: Inyección de claves en los terminales
En relación con la externalización de los servicios, la norma permite que cualquiera de los requisitos sea delegado a un tercero siempre y cuando éste esté certificado como
P2PE para dichos requisitos (proporcionando un atestado de cumplimiento) o demuestren cumplir con los mismos en un análisis de un asesor
P2PE (
QSA P2PE).
Un caso de particular interés es aquel en el que los
POI y sus claves ya han sido desplegados y se pretende que formen parte de la certificación
P2PE. En este caso hay dos opciones:
- Opción 1: Revisar que las evidencias existentes demuestren que se realizó según se refleja en la norma P2PE.
- Opción 2: Resetear todos los dispositivos POI incluyendo firmware, claves criptográficas, configuración y software instalado y volver a instalarlos de acuerdo con la norma P2PE.
En cuanto a los requisitos de la certificación en sí, se debe realizar un análisis por parte de un asesor
QSA (P2PE) que deberá generar un informe de reporte de validación al final del mismo (
P-ROV: P2PE Report On Validation) y un
atestado de validación (
AOV) firmado por el proveedor de
P2PE y por dicho asesor. En caso de ser aceptado y validado por el
PCI SSC, éste enviará el mismo
atestado de validación (
AOV) firmado, tanto al proveedor
P2PE como al asesor y serán incluidos en las listas de soluciones
P2PE validadas.
Una vez conseguida la certificación, la validez de la misma será de dos años. Al final de dicho periodo habrá que volver a realizar un análisis completo de la solución
P2PE. Sin embargo, se requiere que al año siguiente de la obtención de la certificación (y en años sucesivos a la recertificación) un asesor
QSA P2PE realice un análisis provisional (chequeo de salud) de que se están siguiendo los procedimientos según se han establecido y que el entorno sigue siendo el mismo. El resultado será el envío de un
atestado de validación (
AOV) al
PCI SSC.
En relación a las tasas de certificación, aparecen incluidas en la página del
PCI SSC:
http://es.pcisecuritystandards.org/security_standards/fees.php
Se requiere una tasa inicial previa a la inclusión en las listas de las marcas de pago y otras tasas en función que distintos tipos de cambios en la solución que requieren de análisis por parte de un asesor.
Las tasas definidas son las siguientes:
Vendor Fees:
Solution P-ROV Submission Fee USD 4,500
Administrative Changes Fee USD 500
Designated Changes Fee USD 1,000
Application P-ROV Submissions Fee USD 2,500
No-Impact Changes Fee USD 125
Autor: Javier Lorrio -
CISSP, CCSA, CCSE, CISA, PCIP
Departamento de Consultoría.