En Agosto de 2018 el PCI SSC publicó la versión 3.0 del estándar "
PIN Security Requirements and Testing Procedures". Este documento hace parte de la familia de estándares
PCI PIN Transaction Security (PTS) en donde también se encuentran
PCI HSM (Hardware Security Module) y
PCI POI (Point of Interaction), orientados a la protección del
PIN (Personal Identification Number) en transacciones presenciales (“card present”) en cajeros electrónicos y terminales de punto de venta (TPV) atendidas y desatendidas. La primera versión de PCI PIN (1.0) fue publicada en el año 2011 y la versión 2.0 fue publicada en 2014, con lo que este estándar ya acumula 7 años de implementaciones a nivel mundial. Para esta nueva versión (3.0), el PCI SSC ha optado por combinar los requerimientos de seguridad (“PIN Security Requirements”) y los procedimientos de prueba (“Test Procedures”) en un único documento, ya que en versiones anteriores se habían mantenido documentos separados.
El listado de cambios entre la versión 2.0 y 3.0 se puede encontrar en el documento " PIN Security Requirements Modifications and Testing Procedures: Summary of Changes".
Los objetivos de este estándar son:
Respecto a esta nueva versión, uno de los cambios más representativos está en la reorganización de los requerimientos en tres grandes grupos, cada uno subdividido a su vez en “objetivos de control” (“Control Objective”):
Por otro lado, se han estipulado los siguientes plazos para el uso de claves fijas de 3DES (TDES) empleadas para la encriptación de PIN y el uso del formato 4 de bloque de PIN (ISO PIN block format 4):
Finalmente, se han establecido los siguientes criterios adicionales:
Autor: David Eduardo Acosta CISSP|I, CISM, CISA, CRISC, C|EH, C|HFI Instructor, OPST, PCI SSC QSA for DSS/P2PE/3DS/TSP Dpto. Consultoría
El listado de cambios entre la versión 2.0 y 3.0 se puede encontrar en el documento " PIN Security Requirements Modifications and Testing Procedures: Summary of Changes".
Los objetivos de este estándar son:
- Identificar los requerimientos mínimos de seguridad para transacciones de intercambio basadas en PIN.
- Describir los requisitos mínimos aceptables para asegurar el dato del PIN y las claves de encriptación.
- Asistir a todos los participantes del sistema de pago minorista en el establecimiento de garantías de que los datos del PIN de los titulares de tarjetas no se vean comprometidos.
Respecto a esta nueva versión, uno de los cambios más representativos está en la reorganización de los requerimientos en tres grandes grupos, cada uno subdividido a su vez en “objetivos de control” (“Control Objective”):
- Transaction Processing Operations: Anteriormente denominados “PIN Security Requirements”, este grupo de controles aplican a cualquier entidad relacionada con procesos de adquiriencia y/o procesamiento de transacciones basadas en PIN.
- Normative Annex A – Symmetric Key Distribution using Asymmetric Keys: Requerimientos específicos para entidades adquirientes involucradas en la implementación de procesos de distribución de claves simétricas usando claves asimétricas (distribución remota de claves) o para aquellas entidades que ofrecen servicios de operación de autoridades de certificación (Certification Authorities – CA) empleadas para dichos propósitos. Su aplicación depende de las tareas realizadas por la entidad afectada:
- Si se trata de una entidad adquiriente que también realiza funciones de distribución remota de claves, le aplicarán los controles del grupo “Transaction Processing Operations” y los controles del anexo A.
- Si se trata de proveedores de servicio o de fabricantes de dispositivos de punto de interacción (POI) o de HSM que operen sistemas de distribución de claves actuando en nombre de una entidad adquiriente, deben cumplir la totalidad de los controles del anexo A.
- Normative Annex B – Key-Injection Facilities: Requerimientos para entidades que operan servicios de inyeccion de claves de adquiriente en dispositivos empleados para la captura del dato de PIN.
 |
| Figura 1. Aplicabilidad de requerimientos de PCI PIN en función de las labores realizadas |
Por otro lado, se han estipulado los siguientes plazos para el uso de claves fijas de 3DES (TDES) empleadas para la encriptación de PIN y el uso del formato 4 de bloque de PIN (ISO PIN block format 4):
- A partir del 1 de enero de 2023 todas las claves fijas de 3DES (TDES) empleadas para la encriptación de PIN en puntos de interacción (POI) y conexiones host-to-host no serán permitidas.
- A partir del 1 de enero de 2023 todos los hosts deben soportar la desencriptación del formato 4 de bloque de PIN.
- A partir del 1 de enero de 2025 todos los hosts deben soportar la encriptación del formato 4 de bloque de PIN.
Finalmente, se han establecido los siguientes criterios adicionales:
- Todas las entidades afectadas por el estándar deben mantener un inventario de todas las claves criptográficas empleadas en el entorno, incluyendo su nombre, su uso, el algoritmo usado y su longitud. De igual forma, se debe mantener un diagrama de flujo red esquemático que facilite la revisión de los requerimientos de seguridad.
- En relación con el uso de determinados modelos o actualizaciones de dispositivos POI, serán las propias marcas de pago las que definan los criterios de despliegue y periodos de expiración y remplazo de estos equipos en campo de acuerdo con el estándar PCI PTS.
- Es importante aclarar que son las marcas (y no el PCI SSC) las responsables de la definición y la gestión de los programas de cumplimiento asociados a este estándar, por lo que cada marca estipulará las fechas de cumplimiento, multas y forma mediante la cual se realizará el reporte de cumplimiento, así como los listados de empresas que pueden auditar.
Autor: David Eduardo Acosta CISSP|I, CISM, CISA, CRISC, C|EH, C|HFI Instructor, OPST, PCI SSC QSA for DSS/P2PE/3DS/TSP Dpto. Consultoría