Blog / PCI SSC /

Blog de Internet Security Auditors: Publicada la versión 3.0 del estándar “PCI PIN Security Requirements and Testing Procedures”

Publicada la versión 3.0 del estándar “PCI PIN Security Requirements and Testing Procedures”

En Agosto de 2018 el PCI SSC publicó la versión 3.0 del estándar " PIN Security Requirements and Testing Procedures". Este documento hace parte de la familia de estándares PCI PIN Transaction Security (PTS) en donde también se encuentran PCI HSM (Hardware Security Module) y PCI POI (Point of Interaction), orientados a la protección del PIN (Personal Identification Number) en transacciones presenciales (“card present”) en cajeros electrónicos y terminales de punto de venta (TPV) atendidas y desatendidas. La primera versión de PCI PIN (1.0) fue publicada en el año 2011 y la versión 2.0 fue publicada en 2014, con lo que este estándar ya acumula 7 años de implementaciones a nivel mundial. Para esta nueva versión (3.0), el PCI SSC ha optado por combinar los requerimientos de seguridad (“PIN Security Requirements”) y los procedimientos de prueba (“Test Procedures”) en un único documento, ya que en versiones anteriores se habían mantenido documentos separados.

El listado de cambios entre la versión 2.0 y 3.0 se puede encontrar en el documento " PIN Security Requirements Modifications and Testing Procedures: Summary of Changes".

Los objetivos de este estándar son:
  • Identificar los requerimientos mínimos de seguridad para transacciones de intercambio basadas en PIN.
  • Describir los requisitos mínimos aceptables para asegurar el dato del PIN y las claves de encriptación.
  • Asistir a todos los participantes del sistema de pago minorista en el establecimiento de garantías de que los datos del PIN de los titulares de tarjetas no se vean comprometidos.
El estándar PCI PIN es de obligatorio cumplimiento para todas las instituciones adquirientes y agentes responsables del procesamiento de transacciones con PIN de las tarjetas de las marcas del PCI SSC (VISA, MasterCard, AMEX, Discover y JCB) incluyendo servicios de inyección de claves y gestión de certificados y debe ser usado en conjunción con otros estándares aplicables de la industria (PCI DSS, PCI P2PE, etc.).

Respecto a esta nueva versión, uno de los cambios más representativos está en la reorganización de los requerimientos en tres grandes grupos, cada uno subdividido a su vez en “objetivos de control” (“Control Objective”):
  1. Transaction Processing Operations: Anteriormente denominados “PIN Security Requirements”, este grupo de controles aplican a cualquier entidad relacionada con procesos de adquiriencia y/o procesamiento de transacciones basadas en PIN.
  2. Normative Annex A – Symmetric Key Distribution using Asymmetric Keys: Requerimientos específicos para entidades adquirientes involucradas en la implementación de procesos de distribución de claves simétricas usando claves asimétricas (distribución remota de claves) o para aquellas entidades que ofrecen servicios de operación de autoridades de certificación (Certification Authorities – CA) empleadas para dichos propósitos. Su aplicación depende de las tareas realizadas por la entidad afectada:
    • Si se trata de una entidad adquiriente que también realiza funciones de distribución remota de claves, le aplicarán los controles del grupo “Transaction Processing Operations” y los controles del anexo A.
    • Si se trata de proveedores de servicio o de fabricantes de dispositivos de punto de interacción (POI) o de HSM que operen sistemas de distribución de claves actuando en nombre de una entidad adquiriente, deben cumplir la totalidad de los controles del anexo A.
  3. Normative Annex B – Key-Injection Facilities: Requerimientos para entidades que operan servicios de inyeccion de claves de adquiriente en dispositivos empleados para la captura del dato de PIN.
Dependiendo de las tareas realizadas, cada entidad puede estar sujeta a la aplicabilidad de requerimientos de diferentes secciones o al estándar completo. El apéndice A del estándar incluye una nueva matriz en la cual se indica la aplicabilidad de cada requerimiento en función de las labores desarrolladas.
Figura 1. Aplicabilidad de requerimientos de PCI PIN en función de las labores realizadas

Por otro lado, se han estipulado los siguientes plazos para el uso de claves fijas de 3DES (TDES) empleadas para la encriptación de PIN y el uso del formato 4 de bloque de PIN (ISO PIN block format 4):
  • A partir del 1 de enero de 2023 todas las claves fijas de 3DES (TDES) empleadas para la encriptación de PIN en puntos de interacción (POI) y conexiones host-to-host no serán permitidas.
  • A partir del 1 de enero de 2023 todos los hosts deben soportar la desencriptación del formato 4 de bloque de PIN.
  • A partir del 1 de enero de 2025 todos los hosts deben soportar la encriptación del formato 4 de bloque de PIN.
En este punto, hay que resaltar que el estándar PCI PIN especifica los controles sobre las claves vinculadas a procesos que afecten al PIN. Cualquier clave empleada para la protección de otros datos de la tarjeta (PAN, por ejemplo) o que se use para funcionalidades de MAC está fuera del ámbito del documento.

Finalmente, se han establecido los siguientes criterios adicionales:
  • Todas las entidades afectadas por el estándar deben mantener un inventario de todas las claves criptográficas empleadas en el entorno, incluyendo su nombre, su uso, el algoritmo usado y su longitud. De igual forma, se debe mantener un diagrama de flujo red esquemático que facilite la revisión de los requerimientos de seguridad.
  • En relación con el uso de determinados modelos o actualizaciones de dispositivos POI, serán las propias marcas de pago las que definan los criterios de despliegue y periodos de expiración y remplazo de estos equipos en campo de acuerdo con el estándar PCI PTS.
  • Es importante aclarar que son las marcas (y no el PCI SSC) las responsables de la definición y la gestión de los programas de cumplimiento asociados a este estándar, por lo que cada marca estipulará las fechas de cumplimiento, multas y forma mediante la cual se realizará el reporte de cumplimiento, así como los listados de empresas que pueden auditar.


Autor: David Eduardo Acosta CISSP|I, CISM, CISA, CRISC, C|EH, C|HFI Instructor, OPST, PCI SSC QSA for DSS/P2PE/3DS/TSP Dpto. Consultoría

Suscríbete al Blog