Continuando con el análisis del programa MPoC, revisaremos a continuación la relación de este estándar con el resto de los programas de seguridad del PCI SSC, así como los criterios a tener en cuenta por los comercios que deseen reportar cumplimiento en PCI DSS y que presentan escenarios de pago en los que se utilizan este tipo de soluciones MPoC.
Como ya comentamos en la primera parte de este artículo, el estándar MPoC se construye principalmente sobre las bases de los estándares SPoC (PCI Software-Based PIN Entry on COTS) y CPoC (PCI Contactless Payments on COTS), siendo consistente con muchos de los requisitos de seguridad definidos en ambos programas. Sin embargo, es importante tener en cuenta que MPoC también está relacionado de forma directa con otros estándares de la familia PCI, compartiendo ciertos elementos o similitudes con algunos de ellos.
Los dispositivos POI que pueden utilizarse de forma opcional como soporte en las funciones de captura y procesamiento de datos de tarjeta de la solución MPoC pueden estar aprobados por los requisitos de seguridad del estándar PCI PIN Transaction Security (PCI PTS).
El uso de dispositivos aprobados por este estándar para almacenar, procesar o transmitir los datos de tarjeta previene de la exposición a información sensible en los dispositivos COTS, facilitando el aislamiento de los datos del PAN y el PIN de la tarjeta.
Sin embargo, MPoC también permite que una solución de pago pueda integrarse con un lector de banda magnética (MSR - Magnetic-Stripe Reader) que no se encuentre aprobado por PCI PTS POI. En este tipo de escenarios, el proveedor de la solución deberá validar estos dispositivos contra los requerimientos de seguridad específicos definidos en el Apéndice F del estándar MPoC, centrados principalmente en los mecanismos de cifrado de datos de tarjeta con los que deben contar estos dispositivos.
Nota: La entrada de PIN no está permitida en las transacciones basadas en banda magnética, independientemente de si el dispositivo está aprobado o no por PCI PTS POI.
Adicionalmente, también hay que tener en cuenta que los HSMs empleados en el entorno de backend para realizar las operaciones de desencriptado del PIN u otros datos de tarjeta, así como otras operaciones relacionadas con la gestión de claves criptográficas, requerirán validación con PCI PTS HSM o los estándares FIPS 140-2/FIPS 140-3 (Nivel 3/4).
“4A-4.2 Environments performing PIN processing, or that manage PIN related cryptographic keys, comply with the requirements of PCI PIN.”Como única excepción, quedaría fuera del alcance de una validación MPoC el Requerimiento 1 de PCI PIN, que establece la necesidad de que todos los dispositivos utilizados para la aceptación del PIN se encuentren aprobados por PCI PTS.
Todo el software utilizado en la solución MPoC, así como los procesos del ciclo de vida del software, deben estar desarrollados en base a buenas prácticas consistentes con PCI Software Secure Framework (PCI SSF).
Siendo más concretos, el estándar establece dos requerimientos (1A-1.1 y 2B-1.1) a través de los cuales se establece que todo el software de la solución o de la aplicación MPoC se encuentre desarrollado por una entidad que:
▪️ Haya certificado sus procesos de gestión del ciclo de vida del software contra el estándar PCI Secure Software Lifecycle (Secure SLC) o bien;
▪️ Haya implementado los requerimientos del Apéndice D (Secure Software Lifecycle Requirements) del estándar MPoC y estos se hayan validado como parte de la evaluación realizada por el laboratorio MPoC encargado de evaluar la solución MPoC.
Con respecto a PCI SSS (Secure Software Standard), el otro estándar que conforma el marco de seguridad del software de PCI SSF, no hay un requerimiento explicito en MPoC que determine que el software de la solución tenga que certificarse contra este estándar, sin embargo, el PCI SSC recomienda que las entidades que desarrollan su propio software lo utilicen como buenas practicas a la hora de desarrollar sus entornos. Así mismo, cualquier entidad que utilice software dentro de su solución MPoC que haya sido validado por este estándar, podrá tener la garantía de que dicho software se ha desarrollado utilizando prácticas seguras y ha cumplido con un conjunto de requisitos de seguridad para la protección de la información de pago que maneje.
Tal y como se define en la FAQ 1457 publicada por el PCI SSC en Abril de 2024 (https://www.pcisecuritystandards.org/faq/articles/Frequently_Asked_Question/are-mobile-payments-on-cots-mpoc-solutions-software-based-pin-entry-on-cots-spoc-solutions-or-contactless-payments-on-cots-cpoc-solutions-eligible-for-a-p2pe-solution-approval/), los estándares de seguridad para pagos móviles (ya sea SPoC, CPoC o MPoC), y el estándar P2PE son estándares separados que están destinados para casos de uso únicos e independientes, si bien los dispositivos utilizados como parte de una solución SPoC/CPoC y/o MPoC, pueden convivir en el mismo entorno del comercio que los dispositivos utilizados como parte de una solución P2PE.
El estándar PCI DSS aplica a toda entidad que almacena, procesa, transmite o puede impactar en la seguridad de los datos de tarjeta, por lo que, aunque MPoC sea un estándar independiente, cualquier entorno de una solución que trate este tipo de datos (como por ejemplo, los sistemas de backend que se encargan del procesamiento de los pagos) se verá directamente impactado por este estándar.
De esta forma, el estándar MPoC establece a través del requerimiento 4A-4.1 que, los entornos que almacenan, procesan o transmiten datos de tarjeta deben cumplir con los requerimientos de PCI DSS:
“4A-4.1 Environments that store, process, or transmit account data comply with the requirements of PCI DSS (including environments implementing remote kernels).”
En un escenario más particular, tenemos que mencionar los sistemas de backend que conforman el entorno de certificación y monitorización de la solución (o como se define en el estándar, attestation and monitoring). Para este entorno, el estándar MPoC establece que, cuando los sistemas que realizan estás funciones se encuentran suficientemente aislados del entorno de tratamiento de datos de tarjeta (o CDE, Cardholder Data Environment), no será un requerimiento que dichos sistemas tengan que cumplir con PCI DSS. Aunque en caso de no producirse esta segmentación, se verán impactados por el requisito 4A-4.1 al igual que el resto de entornos que almacenen, procesen o transmitan datos de tarjeta.
Sin embargo, aunque este entorno pueda quedar fuera de una evaluación PCI DSS tradicional, el estándar MPoC establece una serie de controles de seguridad mínimos que son requeridos para estos entornos, basados en algunos requerimientos de PCI DSS, y que se encuentran definidos en el Apéndice A del estándar MPoC.
“This Self-Assessment Questionnaire for Software-based PIN entry on COTS (SAQ SPoC) is for merchants using a commercial off the shelf mobile device (for example, phone or tablet) with a secure card reader that is part of a SPoC Solution included on PCI SSC’s list of validated Software-based PIN Entry on COTS (SPoC) Solutions.”De esta forma, el uso de este SAQ quedaría acotado únicamente a las entidades que utilizan lectores de tarjeta seguros o SCRPs como parte de una solución SPoC aprobada y listada por el PCI SSC, quedando así descartado su uso para las soluciones MPoC.
Referencias
Payment Card Industry (PCI) Mobile Payments on COTS, Versión 1.1, Noviembre 2024:
🔗 https://docs-prv.pcisecuritystandards.org/MPoC/Standard/Mobile_Payments_on_COTS-v1_1.pdf
Payment Card Industry (PCI) Mobile Payments on COTS Program Guide, Versión 1.0, Diciembre 2024:
🔗 https://docs-prv.pcisecuritystandards.org/MPoC/Supporting%20Document/MPoC_Program_Guide_v1.0.pdf
Blog PCI SSC: “Just Published: PCI Mobile Payments on COTS”, Noviembre 2022:
🔗 https://blog.pcisecuritystandards.org/just-published-pci-mobile-payments-on-cots
Blog PCI SSC: PCI Mobile Payments on COTS standard version 1.1 now available”:
🔗 https://blog.pcisecuritystandards.org/just-published-pci-mobile-payments-on-cots