Continuando con el análisis del programa MPoC, revisaremos a continuación la relación de este estándar con el resto de los programas de seguridad del PCI SSC, así como los criterios a tener en cuenta por los comercios que deseen reportar cumplimiento en PCI DSS y que presentan escenarios de pago en los que se utilizan este tipo de soluciones MPoC.
¿Qué relación tiene MPoC con otros estándares del PCI SSC?
Como ya comentamos en la primera parte de este artículo, el estándar MPoC se construye principalmente sobre las bases de los estándares SPoC (PCI Software-Based PIN Entry on COTS) y CPoC (PCI Contactless Payments on COTS), siendo consistente con muchos de los requisitos de seguridad definidos en ambos programas. Sin embargo, es importante tener en cuenta que MPoC también está relacionado de forma directa con otros estándares de la familia PCI, compartiendo ciertos elementos o similitudes con algunos de ellos.
¿Cuál es la relación entre MPoC y PCI PTS?
Los dispositivos POI que pueden utilizarse de forma opcional como soporte en las funciones de captura y procesamiento de datos de tarjeta de la solución MPoC pueden estar aprobados por los requisitos de seguridad del estándar PCI PIN Transaction Security (PCI PTS).
El uso de dispositivos aprobados por este estándar para almacenar, procesar o transmitir los datos de tarjeta previene de la exposición a información sensible en los dispositivos COTS, facilitando el aislamiento de los datos del PAN y el PIN de la tarjeta.
Sin embargo, MPoC también permite que una solución de pago pueda integrarse con un lector de banda magnética (MSR - Magnetic-Stripe Reader) que no se encuentre aprobado por PCI PTS POI. En este tipo de escenarios, el proveedor de la solución deberá validar estos dispositivos contra los requerimientos de seguridad específicos definidos en el Apéndice F del estándar MPoC, centrados principalmente en los mecanismos de cifrado de datos de tarjeta con los que deben contar estos dispositivos.
Nota: La entrada de PIN no está permitida en las transacciones basadas en banda magnética, independientemente de si el dispositivo está aprobado o no por PCI PTS POI.
Adicionalmente, también hay que tener en cuenta que los HSMs empleados en el entorno de backend para realizar las operaciones de desencriptado del PIN u otros datos de tarjeta, así como otras operaciones relacionadas con la gestión de claves criptográficas, requerirán validación con PCI PTS HSM o los estándares FIPS 140-2/FIPS 140-3 (Nivel 3/4).
¿Cuál es la relación entre MPoC y PCI PIN?
Una solución MPoC puede ser utilizada para aceptar el PIN de una tarjeta como parte de los procesos de autenticación del titular a la hora de realizar un pago.En este tipo de escenarios, MPoC obliga (requerimiento 4A-4.2) a que cualquier entorno o sistema involucrado en el procesamiento del PIN tenga que cumplir con los requerimientos del estándar PCI PIN para garantizar la seguridad de los procesos criptográficos y de gestión de claves utilizados para manejar estos datos:
“4A-4.2 Environments performing PIN processing, or that manage PIN related cryptographic keys, comply with the requirements of PCI PIN.”Como única excepción, quedaría fuera del alcance de una validación MPoC el Requerimiento 1 de PCI PIN, que establece la necesidad de que todos los dispositivos utilizados para la aceptación del PIN se encuentren aprobados por PCI PTS.
¿Cuál es la relación entre MPoC y PCI SSF?
Todo el software utilizado en la solución MPoC, así como los procesos del ciclo de vida del software, deben estar desarrollados en base a buenas prácticas consistentes con PCI Software Secure Framework (PCI SSF).
Siendo más concretos, el estándar establece dos requerimientos (1A-1.1 y 2B-1.1) a través de los cuales se establece que todo el software de la solución o de la aplicación MPoC se encuentre desarrollado por una entidad que:
▪️ Haya certificado sus procesos de gestión del ciclo de vida del software contra el estándar PCI Secure Software Lifecycle (Secure SLC) o bien;
▪️ Haya implementado los requerimientos del Apéndice D (Secure Software Lifecycle Requirements) del estándar MPoC y estos se hayan validado como parte de la evaluación realizada por el laboratorio MPoC encargado de evaluar la solución MPoC.
Con respecto a PCI SSS (Secure Software Standard), el otro estándar que conforma el marco de seguridad del software de PCI SSF, no hay un requerimiento explicito en MPoC que determine que el software de la solución tenga que certificarse contra este estándar, sin embargo, el PCI SSC recomienda que las entidades que desarrollan su propio software lo utilicen como buenas practicas a la hora de desarrollar sus entornos. Así mismo, cualquier entidad que utilice software dentro de su solución MPoC que haya sido validado por este estándar, podrá tener la garantía de que dicho software se ha desarrollado utilizando prácticas seguras y ha cumplido con un conjunto de requisitos de seguridad para la protección de la información de pago que maneje.
¿Cuál es la relación entre MPoC y PCI P2PE?
Tal y como se define en la FAQ 1457 publicada por el PCI SSC en Abril de 2024 (https://www.pcisecuritystandards.org/faq/articles/Frequently_Asked_Question/are-mobile-payments-on-cots-mpoc-solutions-software-based-pin-entry-on-cots-spoc-solutions-or-contactless-payments-on-cots-cpoc-solutions-eligible-for-a-p2pe-solution-approval/), los estándares de seguridad para pagos móviles (ya sea SPoC, CPoC o MPoC), y el estándar P2PE son estándares separados que están destinados para casos de uso únicos e independientes, si bien los dispositivos utilizados como parte de una solución SPoC/CPoC y/o MPoC, pueden convivir en el mismo entorno del comercio que los dispositivos utilizados como parte de una solución P2PE.
¿Cuál es la relación entre MPoC y PCI DSS?
El estándar PCI DSS aplica a toda entidad que almacena, procesa, transmite o puede impactar en la seguridad de los datos de tarjeta, por lo que, aunque MPoC sea un estándar independiente, cualquier entorno de una solución que trate este tipo de datos (como por ejemplo, los sistemas de backend que se encargan del procesamiento de los pagos) se verá directamente impactado por este estándar.
De esta forma, el estándar MPoC establece a través del requerimiento 4A-4.1 que, los entornos que almacenan, procesan o transmiten datos de tarjeta deben cumplir con los requerimientos de PCI DSS:
“4A-4.1 Environments that store, process, or transmit account data comply with the requirements of PCI DSS (including environments implementing remote kernels).”
En un escenario más particular, tenemos que mencionar los sistemas de backend que conforman el entorno de certificación y monitorización de la solución (o como se define en el estándar, attestation and monitoring). Para este entorno, el estándar MPoC establece que, cuando los sistemas que realizan estás funciones se encuentran suficientemente aislados del entorno de tratamiento de datos de tarjeta (o CDE, Cardholder Data Environment), no será un requerimiento que dichos sistemas tengan que cumplir con PCI DSS. Aunque en caso de no producirse esta segmentación, se verán impactados por el requisito 4A-4.1 al igual que el resto de entornos que almacenen, procesen o transmitan datos de tarjeta.
Sin embargo, aunque este entorno pueda quedar fuera de una evaluación PCI DSS tradicional, el estándar MPoC establece una serie de controles de seguridad mínimos que son requeridos para estos entornos, basados en algunos requerimientos de PCI DSS, y que se encuentran definidos en el Apéndice A del estándar MPoC.
¿Cómo deben reportar cumplimiento PCI DSS los comercios que adquieran soluciones MPoC?
Como último punto de este análisis, es importante comentar los criterios que deben tener en cuenta los comercios que quieran reportar cumplimiento en PCI DSS y cuenten con una solución MPoC para la aceptación de pagos dentro de su entorno de cumplimiento.En este sentido, los comercios pueden llegar a preguntarse si el PCI SSC va a publicar algún tipo de auto-cuestionario de evaluación (Self-Assessment Questionnaire o SAQ) para poder reportar cumplimiento PCI DSS cuando se utilizan este tipo de soluciones de pago, como ocurre con el SAQ SPoC o, si directamente se podría utilizar este SAQ SPoC cuando se utiliza una solución MPoC.
En el caso del SAQ SPoC, debemos tener en cuenta que únicamente podrá ser utilizado por las entidades que cumplan los criterios de elegibilidad que se definen en el propio SAQ, entre los cuales se define que:
“This Self-Assessment Questionnaire for Software-based PIN entry on COTS (SAQ SPoC) is for merchants using a commercial off the shelf mobile device (for example, phone or tablet) with a secure card reader that is part of a SPoC Solution included on PCI SSC’s list of validated Software-based PIN Entry on COTS (SPoC) Solutions.”De esta forma, el uso de este SAQ quedaría acotado únicamente a las entidades que utilizan lectores de tarjeta seguros o SCRPs como parte de una solución SPoC aprobada y listada por el PCI SSC, quedando así descartado su uso para las soluciones MPoC.
Por otro lado, dado que por el momento no existe ningún SAQ que recoja los criterios de elegibilidad que enmarquen el escenario de un comercio que únicamente use una solución MPoC, el comercio deberá abordar un SAQ D o RoC, incluyendo el uso de la solución MPoC que haya sido aprobada y listada por el PCI SSC (https://listings.pcisecuritystandards.org/assessors_and_solutions/vpa_agreement?return=%2Fassessors_and_solutions%2Fmpoc_solutions), lo que permitirá dar cumplimiento a ciertos requisitos del estándar PCI DSS relacionados con los procesos de desarrollo, captura y procesamiento de la información sensible, etc.
Tipologías de SAQs publicados actualmente por el PCI SSC
Conclusiones
El PCI SSC continúa evolucionando sus estándares de seguridad con el objetivo de dar respuesta a las demandas actuales de la industria de los medios de pago.Como parte de este proceso de renovación, surgió el estándar MPoC para soluciones de pago móviles desplegadas en dispositivos COTS, que construye a partir de las bases planteadas por los estándares SPoC y CPoC, ampliando sus capacidades para permitir a fabricantes y proveedores ofrecer productos adaptados a diversos escenarios comerciales.
Con la reciente actualización a la versión 1.1, se refuerza este compromiso, añadiendo una mayor flexibilidad en el desarrollo, despliegue y operación de las soluciones de pago móviles, con el objetivo de mantener siempre un estricto nivel de seguridad que garantice la protección de la información de pago de los usuarios finales.
Referencias
Payment Card Industry (PCI) Mobile Payments on COTS, Versión 1.1, Noviembre 2024:
🔗 https://docs-prv.pcisecuritystandards.org/MPoC/Standard/Mobile_Payments_on_COTS-v1_1.pdf
Payment Card Industry (PCI) Mobile Payments on COTS Program Guide, Versión 1.0, Diciembre 2024:
🔗 https://docs-prv.pcisecuritystandards.org/MPoC/Supporting%20Document/MPoC_Program_Guide_v1.0.pdf
Blog PCI SSC: “Just Published: PCI Mobile Payments on COTS”, Noviembre 2022:
🔗 https://blog.pcisecuritystandards.org/just-published-pci-mobile-payments-on-cots
Blog PCI SSC: PCI Mobile Payments on COTS standard version 1.1 now available”:
🔗 https://blog.pcisecuritystandards.org/just-published-pci-mobile-payments-on-cots
