Analytics

martes, 2 de agosto de 2016

PCI SCC se pronuncia: ¡sí se puede!… reducir el entorno de cumplimiento con un cifrado no certificado bajo el esquema PCI

Desde el pasado mes de junio del 2016, los consultores e implantadores de la norma PCI-DSS que trabajamos en Internet Security Auditors estamos de buena nueva: el PCI Council ha decidido agraciarnos con una nueva FAQ (artículo numero 1162), que a pesar de que su liviandad lo sitúa más cerca de ser una mera directriz que de una guía detallada, es un gran avance en lo que respecta a establecer un criterio al eterno y turbio problema para conseguir reducir el entorno de cumplimiento del comercio mediante el cifrado de los datos de tarjeta dónde el proveedor custodia las claves asociadas.

¿Quién es quién en el contexto actual?:
Con el fin de contextualizar, en primer lugar describiremos de manera rápida las diferentes tecnologías involucradas en los procesos de cifrado punto a punto existentes hoy en día en España:
  • PCI Point-to-point encryption (P2Pe): estándar PCI bajo el que se certifican las soluciones para el cifrado de los datos de tarjeta desde el propio dispositivo de lectura de la tarjeta y hasta la pasarela o el procesador de pago.
  • Visa Technology Innovation Program (TIP): programa de VISA que permite adherirse a los comercios que cumplan ciertas condiciones, y bajo el cual los requerimientos a reportar a las marcas quedan sustancialmente reducidos en lo relativo a los sistemas por lo que se trasmiten los datos de tarjeta.
  • Sistema Nacional de Cifrado de Pistas (SNCP) -conocida también como Solución Normalizada de Cifrado de Pista -: sistema de cifrado de los datos de tarjeta desde el dispositivo de lectura de la tarjeta y hasta el procesador de pago, que desde el 2009 es empleado por las redes de tarjeta y procesadores en España. Aunque a día de hoy oficialmente no se ha hecho público que esté certificada bajo un esquema PCI, se puede considerar como una implementación P2Pe ad-hoc.
  • Servicios crossborder: bajo esta nomenclatura, algunos proveedores de servicios de pasarela de pago ofrecen tramitar la transacción con los datos de tarjeta capturados fuera de España a través de los procesadores REDSYS o CECA de España, y de este modo, bajo SNCP.

Prólogo: El escenario de la discordia
A modo de preludio imprescindible para cualquier drama tecnófobo que se precie, nuestros clientes con presencia internacional nos suelen describir un escenario en el cual realizan transacciones tanto dentro como fuera de territorio español, empleando dispositivos PIN-PAD/POS, que aunque certificados bajo un esquema PCI, transmiten la información a través de sus redes corporativas bajo protocolo TCP/IP y hasta la pasarela de pago sin desplegar una solución P2Pe certificada, y en el cual por lo tanto toda la electrónica de red y sistemas intermedios por donde se transmitan los datos estarían también bajo el alcance de PCI.

En este escenario, con el objetivo de lograr reducir el entorno bajo responsabilidad del comercio, las tareas a abordar se pueden resumir en dos hitos principales a cumplir:
  • a) El comercio no deberá tener acceso a los datos de tarjeta de pago capturados, procesados y/o transmitidos en ningún momento, y para ello, se aplicará un cifrado de los datos extremo a extremo (desde el propio dispositivo donde se capturan los datos, hasta el adquiriente o procesador).
  • b) Las claves de cifrado de los datos de tarjeta solo serán accesibles por una tercera parte ajena al comercio (típicamente será el proveedor de la pasarela o el procesador del pago).

Para lograr estos hitos, en una primera aproximación y a modo de oda al minimalismo, podríamos resolver por la vía rápida recomendando la implantación de una solución P2Pe para reducir el entorno, no obstante, cabe mencionar que actualmente no existe ninguna solución P2Pe certificada que opere en España (con toda seguridad motivado por la ya existencia de la solución SNCP de la que hablaremos unas líneas más abajo).

Descartada esta primera opción en la mayoría de los casos ¿Qué nos queda?: podríamos adherirnos al TIP de VISA. ¿Qué problemas presenta? Aunque se reducen los requerimientos a reportar a las marcas de tarjeta (a su vez los requerimientos quedan divididos entre “mandatory” u obligados y “recommended” o recomendados), los requisitos para optar a la adhesión no siempre podrán cumplirse (a modo de resumen):
  • El adquiriente (nuestro banco) debe aprobar la adhesión.
  • Al menos un 95% de las transacciones anuales realizadas presencialmente deben haber sido originadas en dispositivos con soporte a tarjetas con chip Europay MasterCard VISA (EMV).
  • El comercio no puede haber estado involucrado en ninguna incidencia en la que se hayan comprometido datos de tarjeta en los últimos 12 meses (criterio establecido en cada caso concreto a discreción de VISA Europe).
Si esta solución tampoco nos complace, bien porque no podamos optar a ella o bien porque no reduzca el alcance todo lo que nos gustaría, en España contamos con el antes mencionado SNCP.

SNCP: ¿Cómo funciona, que nos ofrece y como nos adherimos?
El SNCP es una implementación de cifrado extremo a extremo desarrollada, desplegada, gestionada y revisada por las redes de tarjetas españolas Servired, Sistema 4B y Euro 6000, procesadores de pago REDSYS y CECA, y en colaboración con las diversas entidades bancarias. Dicha implementación es prácticamente transparente para los comercios (el comercio puede advertir este sistema cuando el dispositivo PIN-PAD requiera renovar las claves bien porque han sido revocadas, deben ser instaladas de nuevo, etc.).

Tal y como se mencionaba anteriormente, no se ha dado a conocer al público general que oficialmente este sistema se encuentre certificado bajo un esquema PCI, por lo que hasta ahora, la implantación del mismo solo suponía una reducción del entorno de cumplimiento sujeto al criterio que el adquirente (nuestro banco) nos indicase en la forma de reportar nuestro cumplimiento a través de un cuestionario SAQ simplificado específico para SNCP.

Cabe señalar además, que dentro del despliegue de la solución SNCP, se contemplan dos situaciones diferenciadas según los datos de tarjeta visible por el comercio:

Categoría 1) El comercio en ningún momento tiene acceso al PAN en claro, siendo sólo accesible el BIN de la tarjeta (las primeras seis posiciones del PAN).
Dado que no se dispone del PAN en claro, no se almacenan, procesan o transmiten datos de titulares de tarjetas en los términos establecidos por PCI DSS.

Categoría 2) El PIN-PAD envía el PAN (o más de seis dígitos del BIN) en claro al comercio, que debe garantizar que éste se almacena de forma segura.
Al comercio le serán de aplicación los requerimientos de PCI DSS relativos a almacenamiento, procesado y transmisión especificados en el cuestionario simplificado específico para SNCP.

Para nuestro objetivo de reducción del alcance, deberíamos ir hacia el caso de una implementación del SNCP bajo categoría 1.

Por último, y relacionado con el párrafo anterior, es importante conocer que algunos de los proveedores de pasarela de pago que ofrecen servicios en España, permiten a aquellos clientes que capturen datos de tarjeta fuera de territorio español, poder procesar las transacciones realizadas en otros países a través de los procesadores ubicados en España (REDYSYS y CECA) y de este modo a su vez bajo SNCP.

¿Qué nos dice el PCI Council en esta FAQ y por qué es importante?
Como giro de guión inesperado en apenas dos párrafos, esta nueva FAQ nos viene a indicar que una solución de encriptación de los datos de tarjeta, a pesar de no estar certificada bajo PCI P2Pe ni incluida en los listados del PCI Council (como es el caso de SNCP), puede ser válida para reducir el entorno de datos de tarjeta (sacar del alcance toda la electrónica de red y dispositivos intermedios a través de los cuales viajan los datos de tarjeta) siempre que sea aprobada por el adquiriente o las marcas de tarjeta.

En resumen: lo que de facto ya veníamos haciendo en España para reducir así el entorno de cumplimiento del comercio con el SNCP bajo las directrices exclusivamente de nuestro adquiriente, ahora ya se encuentra aceptado formalmente y amparado bajo criterios del propio PCI SSC, otorgando así una seguridad a la hora de garantizar el cumplimiento con el estándar PCI-DSS utilizando esta implementación.

Actualizado el día 28/05/2018 debido a una errata en la frase:

"Para nuestro objetivo de reducción del alcance, deberíamos ir hacia el caso de una implementación del SNCP bajo categoría 2."

La frase se ha cambiado por: "Para nuestro objetivo de reducción del alcance, deberíamos ir hacia el caso de una implementación del SNCP bajo categoría 1."


Gracias a nuestro lector por dejarnos saber de éste error en la publicación.


Autor: Ero Rodríguez - CISA, CRISC, ITILF, ISO 22301 L.A.
Departamento Consultoría