El numero PIN de las tarjetas de pago es un dato sensiblemente especial, que se emplea en transacciones presenciales e identifica al individuo poseedor de la tarjeta como quien dice ser. El SSC (Security Standards Council) y los estándares que este organismo mantiene, principalmente PCI DSS, clasifican este dato como SAD (Sensitive Authentication Data) por su criticidad, clasificación que le confiere un tratamiento especial y precaución especial a la hora de manipularlo. ¿Por qué es tan importante? Vamos a analizarlo a continuación.
◾ Seguridad: El PIN actúa como una segunda capa de seguridad. Junto con la tarjeta física, el PIN ayuda a asegurar que solo el titular de la tarjeta pueda realizar transacciones. Si alguien roba o encuentra una tarjeta, sin el PIN, no podrían acceder a los fondos, aunque todavía existirían métodos para cometer fraude (mediante canales no presenciales).
◾ Acceso no autorizado: Si un PIN concreto cae en manos equivocadas, puede permitir a un atacante realizar transacciones fraudulentas, en ámbito presencial, es decir, que requieren una interacción física con la tarjeta y el dispositivo que captura los datos de la tarjeta para comenzar la transacción.
◾ Pérdida financiera: Las consecuencias financieras de un compromiso de PIN pueden ser significativas tanto para el titular de la tarjeta como para el comerciante que ha intercambiado bienes y servicios con el cliente mediante el pago por tarjeta.
◾ Verificación de Identidad: El PIN verifica que la persona que intenta usar la tarjeta es quien dice ser. Es un método simple pero efectivo de autenticación.
◾ Prevención del Fraude: Al requerir un PIN para transacciones, se reduce significativamente el riesgo de fraude. Esto es especialmente crucial en operaciones como retiros de cajeros automáticos o pagos en puntos de venta.
◾ Confidencialidad: El PIN debe ser mantenido en secreto por el usuario. Esto añade una dimensión de responsabilidad personal en la protección de los datos financieros. Si el PIN se comparte o se escribe en algún lugar accesible, el riesgo de fraude aumenta.
◾ Limitación de Daños: En caso de que la tarjeta sea comprometida, el uso del PIN limita el daño potencial. Muchas instituciones financieras tienen políticas que protegen al usuario contra fraudes si el PIN no fue revelado o si se siguieron ciertas medidas de seguridad.
Ampliamente conocido en el sector de los medios de pago mediante tarjeta, PCI DSS (Payment Card Industry Data Security Standard) es un conjunto de requisitos de seguridad de la información diseñados para proteger los datos de los tarjetahabientes durante todo el ciclo de su procesamiento (manipulación, envío, almacenamiento). La última versión, la 4.0.1, publicada en junio de 2024, supone la última actualización de este estándar y ofrece una guía actualizada para garantizar la seguridad de los datos de pago.
¿Dónde se enmarca la protección del PIN dentro de este estándar de seguridad?
Mientras que el estándar recoge principalmente las responsabilidades relacionadas con el almacenamiento, manipulación y envío de los PAN, que se consideran CHD (Cardholder Data) y no SAD, clasificación que le corresponde al PIN, el debate de la seguridad en torno a los SAD, es menor, al menos en lo que respecta al tránsito, que principalmente se trata en el control 4 de PCI DSS, pero no atañe a los datos SAD directamente.
El estándar PCI DSS 4.0.1, o sus versiones anteriores no abordan específicamente el envío de PIN (Número de Identificación Personal). Estos se centran principalmente en la protección de los datos del titular de la tarjeta y los datos sensibles de autenticación, incluyendo el PIN, pero no detalla procedimientos específicos sobre su envío. En cambio, en lo que respecta al almacenamiento, PCI DSS es mucho más específico, y prohíbe explícitamente el almacenamiento de datos sensibles de autenticación, incluyendo los PIN y bloques de PIN (PINblock) después de la autorización de la transacción (excepto para emisores y compañías que desplieguen servicios de emisión), y si se almacena antes de este evento, manifiesta que debe ser de manera segura y temporal, pero nunca en texto claro, sino mediante cifrado robusto.
En lo que respecta al tránsito, podríamos diferenciar dos tipos de envío de PIN que se pueden encontrar de manera general y concreta, como parte del ciclo de vida de este dato:
◾ Envío de PINes como parte integral de una transacción
◾ Envío de PINes a usuarios finales para su posterior uso en transacciones
El caso más habitual de encontrarnos PINes en tránsito correspondería a aquellas que se derivan del procesamiento de transacciones presenciales, en las que una tarjeta física interactúa con un dispositivo que requiere la inserción de este numero personal de cuatro caracteres como validación adicional. Como aquí se menciona, PCI DSS no cubre los requisitos necesarios para la protección de esta información en tránsito. Entonces, ¿Quién gobierna el comportamiento requerido en este escenario? PCI PIN
El objetivo principal de este estándar es controlar y dotar de seguridad a la adquirencia de transacciones que incluyen datos PIN, siendo el resultado de estas es el intercambio de saldo cliente por bienes y servicios ofrecidos por un comercio, que captura las transacciones mediante un dispositivo a la par que el numero PIN para que, en ultima instancia, el emisor de la tarjeta original, validado el numero PIN, confirme si el saldo de la cuenta asociada a la tarjeta puede afrontar el pago, devolviendo una confirmación o denegación de la operación (OK/KO). Este contexto aplicaría también al extracto de efectivo en cajeros automáticos.
De hecho, PCI PIN es un estándar de seguridad que aglutina la totalidad de requisitos técnicos y operativos necesarios para la gestión, el procesamiento y la transmisión del PIN de las tarjetas de pago de manera segura durante el procesamiento de transacciones online y offline a través de cajeros automáticos y en los terminales de puntos de venta, tanto atendidos como desatendidos. Inicialmente, todas aquellas organizaciones involucradas en el establecimiento de controles necesarios para la protección del PIN en el transcurso de transacciones que implican su validación, se encuentran afectadas por el estándar.
Aunque el estándar es largo y complejo, se puede entender partiendo de que el enfoque es diferente a PCI DSS, que trata de establecer configuraciones de seguridad muy granulares en equipos de computación y equipos de red involucrados en el procesamiento de los datos de tarjeta. La esencia de PCI PIN dista de esa idea, centrándose en el cifrado de la información como pilar fundamental, y secretismo de las claves que cifran los datos, abstrayendo los requisitos técnicos más específicos a los que hacer referencia PCI DSS, de manera que garantiza la seguridad de los PINes que se transmiten desde el punto de captura hasta su validación gracias a la integración de procesos de gestión de claves muy maduros y exigentes, alineados a los criterios de organizaciones como NIST o ANSI. Estos procesos se consideran en todo el ciclo de vida de las claves que cifran el PIN y claves que impactan en la seguridad de las claves que cifran el PIN. El resultado es que los PINes viajan cifrados desde el dispositivo que los captura hasta que se validan en su extremo, pudiendo pasar por varias traducciones entre medias (descifrado y recifrado con otras claves)
En cambio, en cuanto al escenario de envío de PINes a usuarios finales para su posterior uso en transacciones, se podría diferenciar en dos tipos diferentes, caracterizados por el canal de envío. Este contexto está gobernado por el estándar “Card Production and Provisioning” que esta orientado a proteger la actividad de emisores y organizaciones participes en procesos de emisión.
Card Production and Provisioning es un estándar de seguridad, también perteneciente a la familia de los estándares producidos por el SSC, que aborda la seguridad en los procesos dedicados a la producción de tarjetas de pago físicas, así como el aprovisionamiento de los datos de tarjetahabiente en otros medios no tradicionales, como pueden ser smartphones, smartwatches, y otros dispositivos electrónicos que puedan ser empleados para intercambio de bienes y servicios en comercios de la misma manera que las tarjetas tradicionales. El programa se ramifica en dos variantes debido a la extensión de controles a cubrir, asociados a la mitigación del riesgo derivado de los procesos bajo el alcance de este, una variante Lógica y una variante Física, que corresponden prácticamente a dos estándares independientes. Se puede considerar como el gran desconocido dentro del publico general, y por sí solo es un gigante, dado que dentro de su ámbito incluye, la mayoría de controles incluidos en PCI DSS y PCI PIN, aplicándolos a los procesos de producción de tarjetas y aprovisionamiento de datos. Cada variante posee un subconjunto de controles extenso que hacen referencia estrictamente a controles lógicos, como pueden ser la seguridad en la gestión de los datos de tarjetahabiente durante los procesos de personalización, así como controles relacionados con la infraestructura que gestiona esos datos e incluso restricciones sobre la topología de red necesaria, o bien a controles físicos que tratan de incluir los procesos de fabricación dentro de unas instalaciones físicas dotadas de una seguridad de muy alto nivel y con unos niveles de exigencia muy elevados.
Dentro de la variante física se manifiesta la necesidad de proteger los PIN impresos de las tarjetas que van a ser enviados hacia los clientes finales de las entidades. Estos requisitos buscan asegurar que los PINes impresos sean manejados y enviados de una manera que proteja su confidencialidad y evite su compromiso en cualquier punto del proceso desde su producción hasta su entrega al usuario final. Se manifiestan dos aspectos fundamentalmente:
◾ Seguridad en la Producción: La impresión y personalización de PINes deben realizarse en un entorno físicamente seguro, con controles que eviten el acceso no autorizado, incluyendo:
- Áreas Seguras: Las áreas donde se manejan los PINes deben de estar controladas, con acceso restringido mediante sistemas de control de acceso y cámaras de vigilancia y dotadas de presencia dual, entre otros aspectos requeridos.
- Manejo de Documentos: Los PINes impresos deben ser manipulados, almacenados y transportados de manera que se evite su exposición, robo o alteración. Esto incluye el uso de sobres de seguridad o contenedores sellados.
- Destrucción Segura: Cualquier PIN impreso o material de impresión que no se utilice debe ser destruido de manera segura para evitar que caiga en manos equivocadas.
- Independencia estricta: Tanto el personal, como la sala, como los equipos destinados a la impresión del PIN deben de ser distintos a aquellos que personalizan otros datos de la tarjeta en los procesos de producción. Esta independencia atañe incluso a la necesidad de enviar los PINes impresos en días diferentes al envío de las tarjetas físicas por norma general.
◾ Transporte Seguro: El envío de PINes impresos a los usuarios finales debe hacerse mediante servicios de mensajería o correo que garanticen la seguridad del envío y los criterios que se deben abordar al respecto del envío son extensos. Se pueden mencionar algunos como:
- Usar Servicios de mensajería Segura: Emplear servicios de correos certificados o mensajería con seguimiento.
- Empaquetado Seguro: Utilizar materiales de empaquetado que ofrezcan una alta seguridad contra manipulaciones o robos durante el transporte.
A diferencia de su hermano, dentro de la variante lógica sí que se permite el envío de los PINes el mismo día en el que se produce el envío físico de la tarjeta, ya que el envío de esta información dentro de la variante lógica corresponde a medios telemáticos, como puede ser el envío a través de SMS, el envío a una aplicación de banca electrónica, o el envío de esta información mediante otros medios que correspondan a este enfoque.
Una sección del estándar lógico hace referencia a medidas de seguridad lógicas que deben de mantenerse a la hora de enviar PINes a los clientes finales, actividad que en muchos de los casos dependen en exclusiva de los emisores, o pueden subcontratarse a empresas participes, que por lo tanto estaría afectadas por procesos de emisión. Las siguientes consideraciones, entre otras, deben de mantenerse en aquellos entornos y activos que se encargan del envío de PIN mediante medios telemáticos:
◾ El sistema de distribución de PIN NO debe comunicarse con ningún otro sistema en el que se almacenen o procesen datos asociados de titulares de tarjetas. Además, el sistema de distribución de PIN debe funcionar en un host específico y estar aislado de cualquier otra red.
◾ El sistema de distribución del PIN NO debe realizar otra función más allá de la distribución del PIN, y cualquier sesión que se establece durante la distribución (por ejemplo, una llamada telefónica, un correo electrónico o un SMS) debe finalizar una vez que se haya enviado el PIN.
◾ Durante la transmisión, tanto el almacenamiento en el sistema de distribución de PIN, como el almacenamiento temporal de todos los valores de PIN y los valores de autenticación deben cifrarse utilizando algoritmos y tamaños de clave que puedan enmarcarse dentro del marco de cifrado robusto.
◾ La comunicación del PIN al titular de la tarjeta sólo debe tener lugar tras la verificación del valor de identificación (la identificación del titular) y del valor de autenticación asociado (un valor temporal, como puede ser un OTP, como el envío de un valor al SMS para validar que se trata del titular).
◾ El valor de autenticación debe ser diferente del valor de identificación y no debe ser un valor fácilmente asociado al titular de la tarjeta. El primero debe comunicarse al titular de la tarjeta de forma que se detecte el acceso de cualquier persona que no sea el titular de la tarjeta. El objetivo es impedir la suplantación de la identidad del titular original. El valor de autenticación debe estar restringido al sistema de distribución del PIN y no ser accesible por ningún otro sistema.
◾ El sistema de distribución de PIN debe ser capaz de identificar al titular de la tarjeta a partir del valor de identificación de la solicitud, y la solicitud debe contener el valor de autenticación del titular de la tarjeta. Es decir, que la solicitud debe de proporcionar la información necesaria para identificar al titular de la tarjeta basándose en el valor de identificación y además se incluye el valor de autenticación del titular.
◾ El sistema de distribución de PIN debe limitar el número de intentos de obtener un PIN y, al sobrepasar este límite, debe alertar para que se tomen las medidas adicionales definidas por el emisor.
◾ El PIN sólo debe descifrarse inmediatamente antes de pasar al canal de distribución final, por ejemplo, el teléfono. Además, este sistema no debe contener ningún otro dato del titular de la tarjeta (por ejemplo, PAN, nombre del titular). La asociación del PIN a una cuenta específica no debe ser posible en el sistema de distribución.
◾ Si el PIN no se entrega al titular, debe borrarse del sistema tras un periodo de tiempo determinado.
Como podéis ver, si la protección del PIN en tránsito no se cubre directamente por PCI DSS, queda reflejada en otros estándares publicados por el SSC, que a su vez apuntan a las organizaciones que promueven o son responsables del envío de esta información.
Referencias
🔗 https://www.pcisecuritystandards.org/about_us/
🔗 https://www.pcisecuritystandards.org/document_library/
