Fin de Programa VISA PIN - Blog de Internet Security Auditors

Recientemente VISA publicó un comunicado en el que indicaba que a partir del 1 de Octubre de 2023 cesaría su programa VISA PIN:

Important note: Effective 1st October 2023, Visa will sunset the Visa PIN Security Program and will no longer proactively validate Payment Card Industry (PCI) PIN security requirements. While the program will no longer be in effect, clients, processors and service providers will still be required to comply with PCI PIN security requirements. A PCI PIN Security Attestation of Compliance requires a Qualified PIN Assessor (QPA) to test and assess the requirements and controls and should be conducted at least every 2 years

Por lo tanto, dejando de validar activamente los requisitos PCI PIN de las organizaciones bajo el impacto de su programa. Sin embargo, se especifica claramente que las organizaciones bajo el impacto del estándar (aquellas que procesan transacciones con PIN relacionadas con la adquirencia de transacciones en canal presencial, instalaciones de inyección de claves en la que se inyectan claves de cifrado de PIN y claves que impactan en la seguridad de las primeras, y entidades de certificación o registro que participan en la actividad de aquellas organizaciones que procesan transacciones con PIN) deben de seguir cumpliendo con los requisitos PCI PIN del programa dispuesto por el SSC (Security Standards Council). Manifiestan que, un AOC de PCI PIN provisto por un asesor del propio programa PCI PIN es el documento oficial que valida el cumplimiento, siendo necesario realizar una evaluación cada 2 años por un QPA certificado.

Adicionalmente, existen unas notas asociadas a esta publicación en las que se especifica que:

• Los adquirientes, Third party agents y procesadores siguen siendo responsables de proteger los datos PIN de acuerdo con las normas de seguridad del sector y las normas de VISA en todo momento. Además, la finalización del programa de cumplimiento no exime ni altera ninguna tasa, evaluaciones por incumplimiento u otras responsabilidades asociadas a un compromiso resultante de una infracción de las normas de VISA que desemboque en la pérdida de datos de cuentas VISA (con PIN)
• Se destaca que la decisión de VISA no debe malinterpretarse como un menor énfasis en la norma PCI PIN. El cumplimiento de las normas del sector es necesario para mantener un ecosistema de pagos seguro
• A partir de la fecha de cierre de programa, VISA no exige el envío de reportes de cumplimiento PCI PIN para ser revisados internamente. El cumplimiento del programa PCI PIN se valida en exclusiva mediante una evaluación de un QPA que emitirá un certificado de cumplimiento (AOC de PCI PIN)
• Por lo anterior, dado que los documentos de validación del PIN PCI ya no se presentarán a VISA, las entidades existentes que figuran en el Registro Global de VISA permanecerán hasta que el documento vigente caduque, desapareciendo posteriormente del sitio.
• Las gestión de los dispositivos PCI PTS en los comercios, y retiro de aquellos con fecha expirada no estarán sujetos a requerimientos de VISA, sino que son los adquirientes quien deben de controlar la validez de los dispositivos en ultima instancia. Los dispositivos empleados para realizar transacciones con PIN deben de cumplir el estándar PTS, aunque sigue existiendo la posibilidad de emplear aquellos que se encuentran en producción y superan el deadline; recomendando siempre la sustitución tan pronto se añaden a la lista de productos PTS expirados, también dispuesta en el site del SSC.

Echando un poco la vista hacia atrás, vemos que sería alrededor del 2019 cuando el PCI SSC anuncia el nuevo programa Qualified PIN Assessor (QPA), en el que los profesionales empezarían a ser formados y aprobados por el PCI SSC para realizar evaluaciones utilizando el estándar de seguridad PCI PIN. A partir de entonces, el PCI SSC publicaría en su sitio web una lista de las empresas evaluadoras de PCI PIN cualificadas y sus empleados certificados. La última publicación del Estándar de Seguridad PCI PIN alrededor de esas fechas (2018) sería una respuesta a los comentarios de la industria de tarjetas de pago para por fin disponer de un estándar de seguridad PIN unificado que simplificaría el proceso de evaluación de seguridad para las partes interesadas. El lanzamiento del Programa QPA se desarrollaría para proporcionar beneficios adicionales a la industria de las tarjetas de pago al proporcionar una certificación estándar y una lista centralizada de Empresas Evaluadoras de PCI PIN aprobadas que garantizarían servicios QPA de alta calidad para comercios y proveedores de servicios en este ámbito.

En realidad, y aunque el programa haya cesado este 1 de octubre de 2023, desde que el PCI SSC absorbió la responsabilidad de gestionar el programa PCI PIN; han sido los QPA validados por este consejo los encargados de evaluar a las organizaciones en el cumplimiento de este programa. En este punto confluyen dos fuentes de asesores diferentes, tanto aquellos antiguos asesores del programa de VISA PIN, que debieron de acogerse a los requisitos del nuevo programa y certificarse bajo el amparo de una empresa QPA, pasando a ser asesores también certificados como QPA, como aquellos nuevos asesores de empresas que trabajan con programas del SSC que decidieron adoptar y certificarse en el nuevo programa.  

Oficialmente podría decirse que ha existido un periodo de convivencia entre programas hasta que el día 1 de octubre del 2023 se cesa por completo el programa VISA PIN. Desde que el SSC absorbe la responsabilidad del programa, todas las evaluaciones PIN se vienen realizando con el programa PCI PIN con un QPA certificado (sustituyendo a estándares propietarios de las marcas, más específicamente el de VISA, con sus propios asesores). Cabe decir que las nuevas evaluaciones tendrían en cuenta adicionalmente el contexto exigido por cada marca en particular si la organización que se enfrentaba a una evaluación PCI PIN procesaba transacciones que incluían tarjetas de cada Marca en particular.

En última instancia, el efecto colateral de este cese del programa de VISA hace que requisitos específicos de su programa, a excepción de las notas emitidas en el anuncio, no sean necesarios. En concreto, merece la pena destacar que:

• Cesa la obligatoriedad de realizar una nueva evaluación on-site cuando las instalaciones de procesamiento se trasladen o cuando se produzcan cambios significativos en el entorno de seguridad, por ejemplo, la incorporación de un nuevo HSM. No obstante, esto se debería de mantener como una buena práctica debido al riego que conlleva un cambio significativo o disruptor en el entorno vigente de la organización
• Cesa la necesidad de no poder emplear al mismo QPA en más de dos ciclos de validación.
• En caso de no cumplimientos detectados, no es necesario que la corrección se complete en el límite de un plazo de 180 días a partir de la publicación del informe final. No obstante, no se recomienda exceder este plazo debido al riesgo que puede conllevar el no cumplir con requisitos específicos del estándar, y posibles penalizaciones que puedan derivarse ante una infracción de las normas que desemboque en la pérdida de datos de cuentas de VISA (con PIN)

Por lo tanto, podemos establecer unas premisas de cara a las siguientes evaluaciones PCI PIN para organizaciones que procesan transacciones de la marca VISA (inicialmente), a partir de la fecha 1 de octubre de 2023, tal y como sigue;

Conclusiones, implicaciones y matices asociados al cese del programa VISA PIN

• Se mantiene la obligación de cumplimiento mediante el blockquote y validaciones del entorno cada dos años por un asesor y empresa QPA registrados en el site del SSC.
• Desaparece la necesidad de envío de reportes a VISA, así como desaparece el listado de organizaciones que cumplen con PCI PIN en el Registro Global de VISA. Para validar el cumplimiento es necesario y suficiente disponer con el AOC en vigor provisto por el asesor QPA.
• Exime la necesidad de rotación de empresa QPA después de dos ciclos de evaluaciones consecutivas. Las organizaciones pueden continuar con la misma empresa QPA después de dos evaluaciones consecutivas en su ámbito PCI PIN.

Intentando dar un paso más para poder hacer extensible estos argumentos indicados en las conclusiones, y con el objetivo de dotar a estos de mayor amplitud (dando cobertura al resto de marcas), tratamos a continuación de identificar requisitos específicos en las obligaciones de cumplimiento PIN de otras Marcas, que puedan correlacionarse con lo que indicaba VISA en el programa que cesa:

MASTERCARD

Especifica a alto nivel que todos los clientes y sus agentes que realicen el cifrado de PIN o cualquier otro aspecto del procesamiento de PIN deben cumplir los requisitos aplicables relacionados con la seguridad de PIN establecidos en las últimas ediciones de los documentos publicados en el site del SSC (www.pcisecuritystandards.org)

AMERICAN EXPRESS

En línea con MasterCard, la política de American Express exige que el PIN esté protegido de acuerdo con la normativa PCI PIN Security Standards, sin ser más específicos o proveer requisitos adicionales como hacia VISA en su programa.

DISCOVER

De nuevo en la misma línea que las anteriores, solamente se especifica que los adquirentes y sus agentes que almacenen, procesen, transfieran o manejen de cualquier otro modo números PIN como parte de un proceso de autorización de tarjetas de crédito o débito deben cumplir los requisitos de seguridad PIN del sector de tarjetas de pago, haciendo referencia al website del SSC.

Por último, tanto JCB como UNIONPAY no hacen referencias especificas al cumplimiento de PCI PIN en sus programas, más allá de ser miembros fundador y estratégico; por lo que se espera que al menos su enfoque se alinee al resto de las marcas.

Por lo tanto, podemos generalizar las premisas que describimos más arriba al resto de evaluaciones PCI PIN que se realicen incluyendo al resto de las marcas (transacciones con PIN de tarjetas pertenecientes al resto de Marcas que forman parte del SSC), a no ser que en algún momento alguna de ellas, de manera general o especifica, disponga requisitos particulares que gobiernen la manera de abordar una certificación PCI PIN para las organizaciones bajo impacto de este estándar de seguridad en su propio ámbito de Marca.

Nota: Pese al cese del programa es importante resaltar que las multas en caso de incumplimiento siguen aplicando ya que la obligación de certificación está en los documentos Visa Core Rules y Visa Product and Service Rules que son referenciados como de obligatorio cumplimiento en el contrato de las organizaciones con VISA. Adicionalmente, si en algún momento se tiene una brecha y durante la evaluación forense se determina que no se estaba certificado en PCI PIN, habrá consecuencias graves para las organizaciones.

Referencias
https://usa.visa.com/partner-with-us/info-for-partners/pin-security.html
https://blog.pcisecuritystandards.org/coming-soon-qualified-pin-assessor-program
https://usa.visa.com/dam/VCOM/download/security/documents/visa-pin-security-program-guide-public.pdf
https://www.visa.com/splisting/searchGrsp.do
https://www.visa.es/asistencia-visa/consumidor/visa-rules.html
https://www.mastercard.es/content/dam/public/mastercardcom/eu/es/images/empresas/pequenas/obtener-asistencia/rules/SPME-Manual.pdf
https://network.americanexpress.com/globalnetwork/dam/jcr:262a75e8-d295-45a6-87c8-a8d4ed151d9d/American%20Express%20Online%20PIN%20FAQ_April%202019.pdf
https://www.discoverglobalnetwork.com/solutions/pci-compliance/discover-information-security-compliance/