lunes, 29 de junio de 2020

Análisis PCI Contactless Payments on COTS (CPoC™)

El pasado 4 de diciembre de 2019 el PCI SSC publicó en el repositorio de su página web (https://www.pcisecuritystandards.org/document_library) tres nuevos documentos relativos al programa CPoC - Contactless Payments on COTS (Commercial Off-The-ShelfDispositivos de caja cerrada):




¿Qué es CPoC?

Es un nuevo estándar publicado por el PCI SSC para soluciones con transacciones del tipo “tap&go” utilizadas en dispositivos COTS (como teléfonos inteligentes, tablets, dispositivos wearables, etc.) por comercios.

La llegada de este estándar ya fue anunciada en el blog del PCI SSC en octubre de 2019. En dicha publicación daban las pinceladas principales del estándar CPoC, el cual incluye requerimientos de seguridad para proteger los datos de pago, requerimientos de prueba para evaluar y validar dentro de un laboratorio las soluciones que serán publicadas en listas del PCI SSC, así como un guía con información adicional sobre el programa CPoC.

En el siguiente diagrama de alto nivel se puede observar la interrelación entre componentes de CPoC:



La estructura del estándar es la siguiente:



¿Qué componentes están involucrados?

Los componentes hardware que están involucrados en el alcance son los llamados dispositivos COTS (Commercial off-the-shelf) o componentes de caja cerrada. Estos dispositivos móviles del comercio están diseñados para ser distribuidos masivamente al mercado y pueden ser, principalmente, teléfonos inteligentes o tablets. Dichos dispositivos capturan los datos de tarjeta a través de NFC, los cuales, a través de la aplicación CPoC son transmitidos para realizar la autorización del pago. Un ejemplo de esta integración se puede observar en el siguiente esquema:


Hay que tener en cuenta que la aplicación CPoC, junto con el dispositivo COTS y los sistemas de back-end, conforman la solución CPoC. Esta arquitectura se observa en el siguiente esquema:

¿En qué entornos aplica CPoC?

Los requerimientos del estándar CPoC tienen como principal objetivo abordar y mitigar los riesgos asociados en entornos atendidos, si bien pueden ser desplegados en entornos desatendidos, pero los requerimientos de seguridad de CPoC es posible que no cubran todos los riesgos y vulnerabilidades de dichos entornos, haciéndolos susceptibles de ataques no considerados por el estándar. Estos usos que introducen nuevos riesgos quedan fuera del alcance del estándar.

¿Qué tipo de transacciones soporta CPoC?

CPoC da cobertura a los siguientes tipos de transacciones NFC o contactless:
  • Chip EMV
  • Banda magnética (MSD – Magnetic Stripe Data) que usen el código dinámico de verificación de transacción
  •  Transacciones procesadas online. Quedan prohibidas transacciones offline EMV como autorizaciones o autorizaciones diferidas


¿Qué sucede entonces con el estándar PCI PIN Transaction Security Point of Interaction (PCI PTS POI)?

El estándar PCI PTS POI sigue siendo válido para verificar y certificar la seguridad de los pagos en dispositivos móviles o cualquier otro dispositivo fabricado expresamente para pagos (como por ejemplo datáfonos). CPoC expande los controles de dicho estándar a los pagos contactless específicos de dispositivos COTS de los comercios.


¿Qué diferencia hay entre los estándares PCI Software-based PIN Entry on COTS (SPoC) y CPoC?

Es cierto que ambos estándares soportan los pagos contactless, pero la principal diferencia es que las soluciones SPoC requieren de un adaptador para poder aceptar pagos contactless en su hardware de captura de datos de tarjeta (SCRP), mientras las soluciones CPoC no requieren hardware adicional para aceptar transacciones contactless. En la siguiente imagen se puede observar el componente SCRP, que es adicional en la certificación SPoC, no existiendo en CPoC.


¿Qué aporta este nuevo estándar? ¿Era necesario teniendo en cuenta que ya existe SPoC?

Este nuevo estándar está específicamente diseñado para canales de pago presenciales con pagos contactless vía tecnología NFC utilizando un dispositivo cerrado (COTS). Las soluciones CPoC no permiten el uso de dispositivos SPoC.

Por el contrario, SPoC al no estar diseñado para este tipo de pagos, necesitan de modificaciones hardware en sus componentes para poder aceptar pagos contactless.

Por último, cabe señalar que tanto SPoC como CPoC son estándares diseñados para pagos móviles, si bien, cada uno está centrado en pagos presenciales de diferentes tipos; con entrada de PIN para SPoC y con contactless para CPoC.


¿CPoC soporta entrada de PIN? ¿Qué pasa si el pago requiere de PIN?

No, CPoC no permite la aceptación del PIN con el objetivo de evitar que haya una correlación entre el PIN y el PAN en la memoria del dispositivo COTS.

En cuanto a los pagos que requieran PIN, habitualmente pagos superiores a 20€ (o 50€ actualmente y de forma temporal que aceptan las entidades españolas debido a la pandemia COVID-19 con el objetivo de prevenir más contagios), no podrán ser aceptados en terminales CPoC, que deberán rechazar este tipo de compras.


¿Cómo se evalúan y se certifican soluciones CPoC?

La evaluación y certificación es similar al proceso que pasarían otras soluciones evaluadas bajo estándares del PCI SSC, como por ejemplo SPoC o PA-DSS. En este caso también es necesario certificar la solución en el entorno de un laboratorio CPoC. Hay que tener en cuenta que la evaluación del dispositivo COTS queda fuera del alcance en la certificación de la solución CPoC.
Como en los anteriores estándares mencionados, en el conjunto de la certificación el laboratorio es una parte relativa a las revisiones técnicas, pero no la totalidad de la propia certificación, es decir, existen otros elementos que deberán ser revisados y no involucran directamente el laboratorio, como la revisión documental o entrevistas.


¿Puede un Proveedor de Servicios CPoC elaborar una solución CPoC válida para múltiples dispositivos?

Sí, CPoC no prohíbe esta circunstancia. Hay que tener en cuenta, que en este caso la responsabilidad de cumplir con los requisitos caerá en el Proveedor de Servicios CPoC al desarrollar la solución CPoC, incluyendo la aplicación CPoC.


¿Cómo se mantienen soluciones CPoC?

Al igual que para la evaluación y el mantenimiento, también sería similar a las soluciones PA-DSS, por las cuales se deben registrar los cambios (de tipo administrativos, sin impacto, de bajo impacto y de alto impacto), realizando evaluaciones de control anuales y revalidaciones tras el vencimiento la fecha de expiración (ciclo de 3 años).


CONCLUSIONES

Tras otra nueva publicación de un nuevo estándar, el PCI SSC está tomando una línea de renovación intensa de estándares (con ejemplos claros como PCI SSF o PCI CPoC) para dar cobertura a las nuevas tecnologías (tanto de software como de hardware) que soportan soluciones de pago cubriendo una amplia gama de dispositivos usados en la actualidad. Este hecho es importante, ya que los diferentes estándares deben ser lo suficientemente estrictos a nivel de seguridad, pero a la vez ser lo más flexibles para adaptarse rápidamente a los nuevos escenarios y retos tecnológicos que van surgiendo dentro de los pagos digitales.


REFERENCIAS

  1. https://www.pcisecuritystandards.org/document_library
  2. https://blog.pcisecuritystandards.org/just-published-pci-contactless-payments-on-cots
  3. https://blog.pcisecuritystandards.org/coming-soon-new-contactless-standard
  4. https://www.pcisecuritystandards.org/about_us/press_releases/pr_12042019
  5. https://blog.pcisecuritystandards.org/pci-on-mobile-payment-acceptance-spoc-and-contactless-updates


Autor: Alberto Villar - CISSP, PCI QSA, PCI PA-QSA, ISO 27001 L.A.
Dpto. de Consultoría