jueves, 8 de abril de 2021

El PCI SSC publica la versión 3.1 del estándar PCI PIN

El pasado 12 de marzo, el PCI SSC publicó la versión 3.1 del estándar de seguridad PCI PIN. Esta publicación, catalogada con una revisión menor, añade una serie de aclaraciones y actualizaciones del estándar en base al feedback recibido. El objetivo del presente artículo es el de comentar los principales cambios introducidos.

Junto con la publicación de la nueva versión del estándar, se ha publicado una entrada en el blog del PCI SSC con un par de preguntas respondidas por Emma Sutcliffe, Standards Officer del PCI SSC, así como un documento con el resumen de los cambios.

La mayoría de estos cambios, son meramente el añadir nuevas referencias o cambios en algunas frases utilizadas, sin embargo, hay algunos puntos interesantes para revisar:

  • Se ha suspendido las fechas efectivas para adecuarse al estándar ISO PIN Block Format 4. En la versión 3.0, la adecuación debía ser efectiva el 1 de enero de 2023 para el descifrado y 1 de enero de 2025 para el cifrado. Actualmente, el PCI SSC está evaluando nuevas fechas de adecuación, tras reconocer la complejidad de migrar al protocolo de cifrado AES. Se pueden consultar los detalles en el siguiente boletín:
    https://www.pcisecuritystandards.org/pdfs/PCI_ISO_Format_4_PIN_Blocks_Support_Date_Suspension_Bulletin.pdf
  • Se alarga el plazo de implantación de Key Blocks para las fases 2 y 3 (1 de enero de 2023 y 1 de enero 2025 respectivamente). El requisito afectado es el 18-3.
  • Se aplaza 3 años los requisitos establecidos en el control 32-9, por el que se prohibía la inyección de claves en claro en dispositivos POI v3 y posteriores. El plazo actual será para 2024 (y 2026 para el caso de los procesadores) y se limita a dispositivos POI v5 y posteriores.
  • El Anexo C también ha sufrido grandes cambios, aunque en su mayoría son para una presentación más clara y para alinearse con la nomenclatura utilizada por NIST.
  • Se añaden longitudes mínimas para claves en SCRPs (Secure Card Reader – PIN).

Como decimos, estos son los principales cambios, de mayor impacto, dentro de los en torno a 20 cambios realizados.

Y ahora, otro punto importante ¿cuándo entra en vigor 3.1? El PCI SSC es claro, su entrada es efectiva de forma inmediata. Aquí debemos hacer algunas matizaciones y señalar algunas fechas:

  • 30 de septiembre de 2021: Hasta dicha fecha, el se aceptarán evaluaciones realizadas tanto contra PCI PIN 3.0 como contra PCI PIN 3.1. A partir de esa fecha, todas las evaluaciones deberán realizarse contra la nueva versión.
  • 1 de enero de 2022: A partir de esta fecha, ya no se aceptarán AoC de la versión 3.0. La idea tras esta restricción es la de no alargar de forma excesiva las auditorías; es decir, si una auditoría empezó, por poner un ejemplo, en junio de 2021, cuando todavía podían realizarse contra la versión 3.0, deberá finalizar obligatoriamente antes de finalizar el año, o deberá presentarse un AoC sobre la versión 3.1.

Tras un primer análisis podemos concluir que la mayoría de los cambios son menores. Para entornos que ya estén certificados, los cambios aquí introducidos no supondrán ningún (o prácticamente ningún) trauma para su adecuación. De hecho, será más bien al contrario. Los cambios más críticos afectan a dar un mayor plazo de adecuación a las organizaciones, por lo que, tantos los entornos ya certificados como aquellos que vayan a certificarse en próximas fechas, dispondrán de un respiro para adecuarse de una forma más correcta y sólida.

Referencias:


Autor: Daniel García - CISM, PCI QSA, PCI QPA, ISO 27001 L.A.
Dpto. Consultoría