Blog de Internet Security Auditors

Blog de Internet Security Auditors: Análisis de la norma PCI P2PE (PCI Point-to-Point Encryption) del PCI SSC

Escrito por Internet Security Auditors | Sep 8, 2014 4:00:00 AM
A continuación se realiza un análisis de la norma PCI P2PE ( PCI Point-to-Point Encryption) establecida por el PCI SSC, la cual permite reducir el ámbito de cumplimiento de la norma PCI DSS en comercios. La norma PCI P2PE se basa en el proceso que comprende el cifrado de datos en el punto de interacción con el poseedor de la tarjeta (generalmente un comercio), hasta que los datos alcanzan el entorno de descifrado gestionado por un proveedor de servicios.

Este proceso incluirá tanto el método de cifrado desde el terminal de punto de venta ( POI) como el descifrado para el envío a los organismos autorizadores del pago, incluyendo la seguridad de los sistemas y aplicaciones que intervienen en dicho proceso así como la gestión de las claves de cifrado y descifrado.

En primer lugar aclarar que el hecho de que un comercio utilice una solución certificada como P2PE, no le exime de cumplir PCI DSS con los requisitos que le sean de aplicación y remitidos por su banco adquiriente (en función de los niveles de servicio), aunque sí reducir en gran medida su ámbito de cumplimiento. Esto se explica debido a que, en muchos casos, los comercios tienen que tratar tarjetas físicas en mano o pueden recibir datos de tarjeta a través de otros canales distintos del definido para P2PE como por ejemplo a través del teléfono. Además, al comercio se le requerirán otros requisitos en relación con:
  • La protección física de los POI (Point of Interaction)
  • No almacenar datos sensibles fuera de los POI
  • Políticas y procedimientos adecuados por parte del comercio
  • Mantenimiento de acuerdos con terceros (en caso de ser necesario)
  • Seguir el documento P2PE Instruction Manual (PIM) que tiene que ser provisto por el proveedor P2PE al comercio y que establece como implantar y mantener los dispositivos POI.
  • Segmentar adecuadamente entorno P2PE del resto de entornos.

En relación con la certificación P2PE  para proveedores de servicio, hay dos tipos de sistemas en función del entorno de descifrado utilizado:
  • P2PE Hardware/Hardware: cuando las operaciones de cifrado se realizan dentro del POI y las operaciones de descifrado se realizan dentro de un HSM.
  • P2PE Hardware/Hybrid: cuando las operaciones de cifrado se realizan dentro del POI y las operaciones de descifrado se realizan a través de software fuera de un HSM (aunque utilice un HSM para almacenar las claves).
Actualmente el escenario más habitual es Hardware/Hardware cuyas características son las siguientes:
  • Utilización de un dispositivo hardware seguro (SCD Secure Cryptographic Devide) en ambos extremos.
  • Solución proporcionada por un proveedor (adquiriente, procesador, pasarela de pagos) – Third Party

En función del tipo de entorno de descifrado utilizado, habrá variación en algunos de los requisitos aplicados en el dominio 5 “ Entorno de Descifrado” (los dominios se especifican de forma esquemática más adelante)

Hay una relación muy estrecha entre los requisitos solicitados por P2PE con respecto al resto de normas establecidas por el PCI SSC tal y como se detalla a continuación:
  • Los dispositivos POI utilizados para lectura de tarjetas deben estar incluidos en las listas del PCI SSC como dispositivos aprobados por PCI PTS con la función SRED (Secure Reading and Exchange of Data): https://www.pcisecuritystandards.org/approved_companies_providers/validated_p2pe_solutions.php
  • Las prácticas de gestión de claves para cifrado y descifrado de datos de tarjeta debe realizarse siguiendo los criterios de PTS PIN.
  • Las aplicaciones en los dispositivos POI deben cumplir con los requisitos de PA-DSS. Una matización importante al respecto es  que, en el caso de haber varias aplicaciones dentro del mismo POI, deben ser evaluadas todas (incluidas las que no accedan a datos de tarjeta).
  • El entorno de descifrado cumple con los requisitos de la norma PCI DSS.

Aunque no es necesario estar certificado del resto de normas para cumplir con P2PE, sí ayudan a reducir el entorno de cumplimiento (y por lo tanto al ámbito de la auditoría anual). Un caso distinto será el referido a los terminales de venta ( POI) que sí deben aparecer en las listas del PCI SSC como dispositivos homologados.

Estos requisitos están incluidos dentro de los dominios establecidos para la norma P2PE para la obtención de la certificación:
  • Dominio 1: Dispositivos criptográficos (POI, HSM)
  • Dominio 2: Aplicaciones en dispositivos POI (En las listas del PCI SSC se establecen aplicaciones que cumplen con los requisitos establecidos para P2PE): https://www.pcisecuritystandards.org/approved_companies_providers/validated_p2pe_applications.php
  • Dominio 3: Entorno de cifrado del comercio
  • Dominio 4: Segmentación entre dominios de cifrado y descifrado
  • Dominio 5: Entorno de descifrado (En el caso de que el entorno de descifrado no este certificado como PCI DSS, será requerido un análisis de dicho entorno según los criterios de la norma P2PE que le son de aplicación. 
  • Dominio 6: Administración de claves P2PE
  • Anexo A: Requerimientos para distribución de claves simétricas utilizando métodos asimétricos
  • Anexo B: Operaciones de cifrado: Inyección de claves en los terminales

En relación con la externalización de los servicios, la norma permite que cualquiera de los requisitos sea delegado a un tercero siempre y cuando éste esté certificado como P2PE para dichos requisitos (proporcionando un atestado de cumplimiento) o demuestren cumplir con los mismos en un análisis de un asesor P2PE ( QSA P2PE).

Un caso de particular interés es aquel en el que los POI y sus claves ya han sido desplegados y se pretende que formen parte de la certificación P2PE. En este caso hay dos opciones:
  • Opción 1: Revisar que las evidencias existentes demuestren que se realizó según se refleja en la norma P2PE.
  • Opción 2: Resetear todos los dispositivos POI incluyendo firmware, claves criptográficas, configuración y software instalado y volver a instalarlos de acuerdo con la norma P2PE.

En cuanto a los requisitos de la certificación en sí, se debe realizar un análisis por parte de un asesor QSA (P2PE) que deberá generar un informe de reporte de validación al final del mismo ( P-ROV: P2PE Report On Validation) y un atestado de validación ( AOV) firmado por el proveedor de P2PE y por dicho asesor. En caso de ser aceptado y validado por el PCI SSC, éste enviará el mismo atestado de validación ( AOV) firmado, tanto al proveedor P2PE como al asesor y serán incluidos en las listas de soluciones P2PE validadas.

Una vez conseguida la certificación, la validez de la misma será de dos años. Al final de dicho periodo habrá que volver a realizar un análisis completo de la solución P2PE. Sin embargo, se requiere que al año siguiente de la obtención de la certificación (y en años sucesivos a la recertificación) un asesor QSA P2PE realice un análisis provisional (chequeo de salud) de que se están siguiendo los procedimientos según se han establecido y que el entorno sigue siendo el mismo. El resultado será el envío de un atestado de validación ( AOV) al PCI SSC.

En relación a las tasas de certificación, aparecen incluidas en la página del PCI SSC:
http://es.pcisecuritystandards.org/security_standards/fees.php

Se requiere una tasa inicial previa a la inclusión en las listas de las marcas de pago y otras tasas en función que distintos tipos de cambios en la solución que requieren de análisis por parte de un asesor.

Las tasas definidas son las siguientes:
Vendor Fees:
Solution P-ROV Submission Fee     USD 4,500
Administrative Changes Fee     USD 500
Designated Changes Fee     USD 1,000
Application P-ROV Submissions Fee     USD 2,500
No-Impact Changes Fee     USD 125

Autor: Javier Lorrio - CISSP, CCSA, CCSE, CISA, PCIP
Departamento de Consultoría.