En Noviembre del año 2022, el PCI SSC publicaba la primera versión de su nuevo programa: Mobile Payments on COTS (Commercial Off-The-Shelf – Dispositivos de caja cerrada).
Tras los dos primeros años de convivencia con el estándar, ya han comenzado a surgir los primeros productos MPoC aprobados por este programa, lo que unido a la reciente publicación de la versión 1.1 el pasado mes de Noviembre de 2024, hacen esta una oportunidad ideal para comenzar a profundizar en este estándar de seguridad y analizar sus principales características.
Documentos del programa MPoC
¿En qué consiste MPoC?
Mobile Payments on COTS (MPoC), es un estándar de seguridad publicado por el PCI SSC para soluciones de pago desplegadas en dispositivos comerciales de caja cerrada (COTS). Cuando hablamos de dispositivos COTS, principalmente nos referiremos a smartphones y tablets, aunque es un concepto más amplio que puede abarcar cualquier tipo de dispositivo móvil que no haya sido diseñado únicamente con el objetivo de aceptar pagos.
El programa MPoC, surge por tanto como respuesta a la evolución de los dispositivos POI (Point-of-Interation) utilizados por los comercios para aceptar pagos presenciales, que van extendiéndose de los ya conocidos datáfonos a otro tipo de dispositivos más complejos que permiten ofrecer un mayor número de opciones de pago para comercios y usuarios finales.
De esta forma, el objetivo del estándar es definir los requerimientos para proteger la seguridad de la información de pago capturada y procesada en las soluciones de pago desplegadas en dispositivos COTS, estando destinado a aquellas entidades involucradas en el desarrollo, despliegue y operación de dichas soluciones.
¿A qué entornos aplica MPoC?
Los requerimientos del estándar MPoC únicamente son aplicables a las soluciones de pago desplegadas en dispositivos COTS, quedando fuera del alcance del estándar cualquier solución que utilice otro tipo de dispositivos. Adicionalmente, el uso de soluciones MPoC en entornos no atendidos del comercio también se considera fuera del alcance del estándar.
¿Qué componentes están involucrados?
En el escenario tradicional de un pago presencial en un comercio, los datos de cuenta (PAN, PIN, etc.) son introducidos en un dispositivo específicamente diseñado para proteger estos datos, como por ejemplo un terminal de punto de venta o datáfono aprobado por el estándar PCI PTS.Por su lado, las soluciones MPoC permiten utilizar otro tipo de dispositivos como smartphones o tablets para ofrecer las mismas funciones que estos terminales, empleando para ello una combinación de mecanismos de seguridad que involucran a los siguientes componentes:
- Dispositivo COTS operado por el comercio que ejecuta la aplicación MPoC, normalmente con tecnología NFC disponible.
- Aplicación MPoC que reside en el dispositivo COTS, y que establece las medidas de seguridad para la captura los datos de tarjeta y envío seguro de la información al entorno de backend.
- Entorno de backend, que realiza distintas funciones de gestión y supervisión del proceso de pago, como la certificación y monitorización de los mecanismos de seguridad, validación de datos y el procesamiento final del pago.
- De forma opcional, lector de banda magnética externo para dar soporte a la aplicación MPoC en la captura y procesamiento de los datos de tarjeta.
Arquitectura de una solución MPoC
¿Qué tipo de canales para la aceptación de pagos soporta MPoC?
Una de las principales características de MPoC es que ha sido diseñado para permitir que las soluciones de pago puedan dar cobertura a múltiples canales de aceptación de pagos para la captura y verificación de los datos de tarjeta, siendo contempladas actualmente por el estándar las siguientes:
▪️ Interfaz NFC nativa del dispositivo COTS.
▪️ Lectores externos de banda magnética aprobados por PCI PTS.
▪️ Lectores externos de banda magnética no aprobados por PCI PTS (deben estar validados por el Apéndice F del estándar destinado a este tipo de dispositivos).
▪️ Introducción manual de los datos de tarjeta.
▪️ Entrada nativa de PIN del dispositivo COTS.
▪️ Transacciones sin mecanismos de verificación del titular (sin CVM).
▪️ Consumer Device Cardholder Verification Method (CDCVM), que permite verificar al titular de la tarjeta a través del propio dispositivo móvil.
Si bien todos estos canales de captura y verificación de datos de tarjeta están permitidos por el estándar, quedará a consideración de cada fabricante o proveedor elegir cuales serán utilizados por su solución MPoC.
¿Qué diferencias existen con SPoC y CPoC?
El estándar MPoC ha sido construido a partir de muchos conceptos y requerimientos que se encontraban presentes en los estándares para soluciones de pago móviles anteriormente publicados por el PCI SSC: PCI SPoC (PCI Software-based PIN on COTS) y PCI CPoC (PCI Contactless Payments on COTS).
Sin embargo, MPoC ha sido estructurado para ofrecer una mayor flexibilidad en las tipologías de pagos que pueden ser aceptadas por cada solución, combinando los escenarios planteados en SPoC y CPoC con algunas opciones adicionales. Adicionalmente, esta flexibilidad también está presente a la hora de establecer los requerimientos que establecen como las soluciones de pago son desarrolladas, desplegadas y mantenidas, dando así lugar a una gran diversidad de productos MPoC con la capacidad de abordar distintas necesidades de mercado que no eran posible cubrir bajo los programas SPoC y CPoC.
Si bien por tanto MPoC supone una evolución de los programas SPoC y CPoC, el PCI SSC ha informado que MPoC no pretende reemplazar ninguno de estos estándares, que seguirán estando vigentes.
¿Qué tipo de productos MPoC pueden ser validados por el estándar?
Esta flexibilidad se consigue a través de un enfoque modular en el desarrollo de las soluciones de pago, que permite al estándar ofrecer a los fabricantes y proveedores la aprobación de tres tipos diferentes de productos MPoC:
▪️ Software MPoC (MPoC Software): Todo software que implementa la funcionalidad base requerida por la solución MPoC, incluyendo la funcionalidad de aceptar los datos de pago en los dispositivos COTS y otras funciones como la certificación de componentes o los procesos de backend. El software MPoC se considera en dos partes separadas: la aplicación MPoC o el MPoC SDK que se integra dentro de la propia aplicación, y el software de backend. Puede tener también dependencia de otros sistemas hardware como el propio dispositivo COTS o los HSMs desplegados en el backend.
▪️ Servicio MPoC (MPoC A&M Service): Componente de la solución MPoC que implementa los aspectos operacionales del software MPoC, tales como los servicios de certificación y monitorización (Attestation and Monitoring Services), servicios de gestión de claves, servicios de procesamiento de pagos, etc. Un servicio MPoC puede referenciar a uno o más de un software MPoC, pero no cumple con los requerimientos necesarios para considerarse una solución MPoC al completo.
▪️ Solución MPoC (MPoC Solution): Conjunto de componentes y procesos que dan soporte a la aceptación de pagos móviles y la protección de los datos de tarjeta en los dispositivos COTS. Como mínimo, una solución MPoC debe incluir una aplicación MPoC y los sistemas de certificación, monitorización y procesamiento de pagos.
Tipos de Productos MPoC
Este enfoque modular da lugar a una gran variedad de tipologías de soluciones MPoC, pudiéndose desarrollar una solución “monolítica” que no utilice ningún otro producto MPoC, o desarrollar soluciones que pueden referenciar e integrarse de distintas formas con otros productos MPoC aprobados (ya sean desarrollados por la propia entidad o por otro proveedor).
¿Cómo se estructura el estándar MPoC?
El estándar MPoC está organizado en cinco dominios, los dos primeros centrados en los aspectos técnicos y de desarrollo del software del producto MPoC, y los tres últimos centrados en los aspectos operacionales:| Dominio | Módulo |
| Dominio 1: Requerimientos Core del Software MPoC | Módulo 1A: CORE |
| Módulo 1B: Protección del Software SDK MPoC | |
| Módulo 1C: Software de Certificación y Monitorización | |
| Módulo 1D: Entrada y Procesamiento Seguro de los Datos de Tarjeta | |
| Módulo 1E: Entrada de PIN en el Dispositivo COTS | |
| Módulo 1F: Transacciones de Pago Offline | |
| Módulo 1G: Guía de Seguridad del Software MPoC | |
| Dominio 2: Integración del SDK MPoC. | Módulo 2A: Integración del Software MPoC |
| Módulo 2B: Seguridad de la Aplicación MPoC | |
| Dominio 3: Certificación y Monitorización | Módulo 3A: Cumplimiento de la Guía de Implementación del Software MPoC |
| Módulo 3B: Certificación y Monitorización | |
| Módulo 3C: Seguridad Operacional | |
| Dominio 4: Gestión del software MPoC. | Módulo 4A: Gestión de Software |
| Dominio 5: Solución MPoC. | Módulo 5A: Gestión de Proveedores |
De esta forma, en función del tipo de producto MPoC desarrollado, el estándar permite determinar la aplicabilidad de los requerimientos de MPoC que deben ser abordados por cada una de las entidades que se encuentran afectadas por el estándar: Fabricantes de Software MPoC, Proveedores de Servicios MPoC y Proveedores de Solución MPoC.
¿Qué cambios ha introducido la versión 1.1?
La nueva versión 1.1, publicada en Noviembre de 2024, tiene como objetivo continuar evolucionando el estándar para seguir ampliando la flexibilidad y el número de opciones de soluciones de pago permitidas. Algunos cambios claves son los siguientes:
▪️ Eliminación de los requerimientos de Secure Software y de validación funcional del
kernel.
▪️ Posibilidad de que un SDK MPoC pueda integrarse en otro SDK MPoC.
▪️ Posibilidad de utilizar HSMs validados por FIPS 140-2 Nivel 2 (si se implementan en
entornos controlados).
▪️ Clarificación, actualización y evolución de algunos requerimientos.
▪️ Cambios generales en el estándar.
El detalle completo de los cambios introducidos en esta nueva versión puede consultarse en el documento “Summary of Changes” publicado por el PCI SSC y disponible dentro de la documentación del programa.
¿Cómo se evalúan y certifican soluciones MPoC?
El proceso de evaluación y certificación sigue siendo similar a los procesos establecidos por otros estándares del PCI SSC como SPoC y CPoC.
Cuando una entidad haya desarrollado un producto MPoC, puede perseguir la aprobación y listado de su producto bajo el programa MPoC. Para ello, la entidad debe establecer un acuerdo con un laboratorio MPoC aprobado por el PCI SSC (MPoC Lab) que se encargará de realizar la evaluación del producto MPoC contra los requerimientos del estándar.
Una vez que se ha llevado a cabo esta evaluación y el laboratorio MPoC haya validado todos los controles del estándar, se entregará al PCI SSC las evidencias necesarias para procesar la aceptación del producto y su posterior aparición en el listado de productos aprobados del PCI SSC (https://listings.pcisecuritystandards.org/assessors_and_solutions/mpoc_solutions).
Estas acciones únicamente pueden ser realizadas por el laboratorio MPoC, de forma que no se permite a las entidades evaluadas enviar las evidencias que validen su propio cumplimiento.
¿Cómo se mantienen las soluciones MPoC?
El mantenimiento de la certificación MPoC también es similar al de otros estándares del PCI SSC, estableciendo un periodo de vencimiento de 3 años, tras los cuales, la entidad deberá decidir si renovar la certificación de su producto o dejar que expire.
Durante este ciclo de 3 años, se deberán registrar los cambios realizados sobre el producto MPoC (cambios sin impacto, cambios administrativos y cambios de implementación), que serán revisados en las evaluaciones de control anuales llevadas a cabo por el laboratorio MPoC.
Referencias
Payment Card Industry (PCI) Mobile Payments on COTS, Versión 1.1, Noviembre 2024:
🔗 https://docs-prv.pcisecuritystandards.org/MPoC/Standard/Mobile_Payments_on_COTS-v1_1.pdf
Payment Card Industry (PCI) Mobile Payments on COTS Program Guide, Versión 1.0, Diciembre 2024:
🔗 https://docs-prv.pcisecuritystandards.org/MPoC/Supporting%20Document/MPoC_Program_Guide_v1.0.pdf
Blog PCI SSC: “Just Published: PCI Mobile Payments on COTS”, Noviembre 2022:
🔗 https://blog.pcisecuritystandards.org/just-published-pci-mobile-payments-on-cots
