Hasta hace unos pocos meses, si un comercio utilizaba una solución de cifrado punto-a-punto, solo podía lograr la reducción del entorno de cumplimiento del estándar PCI DSS a través de dicha solución si ésta cumplía con la normativa P2PE.
Pero esto dio un giro en Junio de este mismo año, cuando el PCI SSC publicó la FAQ 1162, que establece las pautas para implementar una reducción de un entorno PCI DSS aunque se esté utilizando una solución de cifrado punto-a-punto no certificada con el estándar P2PE. Para ello, lo que establece dicha FAQ es que el comercio que utiliza dichas soluciones de cifrado se debe contactar con las entidades adquirientes y/o las marcas de tarjetas de pago, para que dichos actores evalúen el riesgo del entorno, y validen o no si las soluciones de cifrado punto-a-punto propuestas son válidas para conseguir la tan ansiada reducción del entorno de cumplimiento PCI DSS.
Con el nuevo suplemento, el PCI SSC da un paso más, y nos indica que para conseguir dicha reducción del entorno de cumplimiento utilizando soluciones de cifrado punto-a-punto no certificadas con la P2PE, es necesario que un QSA P2PE realice previamente una evaluación de dichas soluciones. En estas evaluaciones, el auditor QSA P2PE debe realizar un GAP de la solución contra los requerimientos que dicta el estándar P2PE, generando un informe de cumplimiento llamado NESA ( Non-listed Encryption Solution Assessment).
Posteriormente, el comercio que utiliza la solución de cifrado punto-a-punto debe hacer llegar el informe NESA a las entidades adquirientes y/o a las marcas de tarjetas de pago, tal y como dicta la FAQ 1162, para que éstas puedan evaluar si las soluciones propuestas son válidas o no para conseguir una correcta segmentación del entorno de cumplimiento PCI DSS.
El nuevo suplemento establece que la evaluación de la solución de cifrado por parte del QSA P2PE deberá realizarse cada tres años.
Vemos entonces que la reducción de un entorno de cumplimiento PCI DSS es también posible utilizando soluciones de cifrado punto-a-punto no certificadas como P2PE, pero como también indica el nuevo suplemento, lo más recomendable si se tiene la opción es utilizar soluciones certificadas P2PE, ya que en estos casos la reducción del entorno de cumplimiento es automática, y por lo tanto el esfuerzo de validación de cumplimiento para el comercio será mucho menor que en el caso de utilizar soluciones de cifrado no certificadas.
Referencias
https://www.pcisecuritystandards.org/documents/Assessment_Guidance_Non-Listed_Encryption_Solutions.pdf
http://blog.isecauditors.com/2016/08/pci-scc-se-pronuncia-si-se-puede-reducir-entorno-cumplimiento-con-cifrado-no-certificado-bajo-esquema-pcidss.html
http://blog.isecauditors.com/2014/09/analisis-norma-pci-p2pe-pci-point-to-point-encryption.html
https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/Can-merchants-use-encryption-solutions-not-listed-on-the-PCI-Council-s-website-to-reduce-their-PCI-DSS-validation-effort
http://www.pcihispano.com/el-pci-ssc-publica-una-guia-para-la-evaluacion-de-soluciones-de-encriptacion-punto-a-punto-p2pe-no-listadas/
Autor: Guillem Fàbregas - PCI QSA, PCIP, CISSP, CISA, CISM, CRISC, ISO 27001 L.A.
Departamento de Consultoría.