El pasado 5 de octubre, el PCI Council publicaba una guía denominada "Initial Roadmap: Point-to-Point Encryption Technology and PCI DSS Compliance" (pdf) dada la importancia creciente de esta tecnología (más conocida como P2PE) y las muchas interpretaciones a su alrededor, tanto de fabricantes como QSAs a los que les tocaba lidiar con ellas dado que son un método efectivo y eficiente para simplificar el cumplimiento con el estándar. En España, por ejemplo, es muy conocida la propuesta de las redes denominada SNCP - Solución Normalizada de Cifrado de Pista que precisamente es una implementación de P2PE desde el terminal hasta dichas redes.
Lo primero que hemos de decir es que se trata de una guía escrita desde la perspectiva del merchant y que, por tanto, NO cubre todas las posibles variantes que nos podemos encontrar, es decir, no es un análisis exhaustivo y lo que para mi es más importante, NO define los requerimientos para validar una solución P2PE como válida desde la perspectiva de PCI-DSS (para eso tendremos que esperar a un nuevo documento que verá la luz en 2011 y que llevará por título, "Validation Requirements for Point-to-Point Encryption").
Una vez dicho esto, vamos a identificar los aspectos que son más importantes IMHO:
- En primer lugar, destacar que aunque el PCI Council ya se había pronunciado (artículo #10359 de las FAQ) y dejado fuera del alcance los datos cifrados siempre que la entidad depositaria no tuviera medios para descifrar, se nos abre una nueva vía: Si una Entidad puede validar que los entornos y los medios utilizados para el cifrado cumplen con los estándares de la industria recogidos en la publicación comentada anteriormente entonces, la Entidad puede considerar que el alcance se reduce a los entornos de cifrado y/o descrifado. Es decir que, incluso si la Entidad tiene capacidad de descifrar los datos pero cumple con los requerimientos que vendrán, también podría reducir el alcance de la validación.
- Para determinar correctamente el alcance, el merchant debe realizar un ejercicio de descubrimiento de datos para verificar que no existe ninguna fuga de Datos de Titulares de Tarjeta - DTT del entorno P2PE al resto de sistemas (cualquier dispositivo que no esté adecuadamente segmentado seguirá estando dentro del alcance de PCI-DSS).
- Para maximizar el aprovechamiento del P2PE, el cifrado se debe producir en el primer punto de interacción con la tarjeta mediante un dispositivo seguro y tamper-resistant.
- Se reconoce que las tecnologías P2PE son una forma de simplificar el proceso, pero que no eximen de la necesidad de mantener y validar el cumplimiento con PCI-DSS.
- Los requerimientos de validación tocarán aspectos que pueden ser gestionados por distintas partes y que, además, no se limitarán a su implantación inicial sino que incluirán también aspectos relacionados con su operación y mantenimiento. Algunos ejemplos de áreas que se tocarán son: el dispositivo de cifrado, la aplicación de pagos, gestión de claves y operación del cifrado y/o descifrado (que serán ampliados por el documento de validación), etc.
Para finalizar, un aspecto que me ha resultado interesante como son las amenazas principales de este tipo de tecnologías puesto que me ha gustado ver reflejadas muchos de los aspectos que tuve considerar hace bastante tiempo, la primera vez que me toco lidiar con este tipo de tecnologías y tuvimos que "inventarnos" desde cero como validar una solución de este tipo. Os dejo con la relación de amenzas del PCI Council:
- Vuelta a las transacciones no cifradas por algún aspecto técnico.
- Datos de titulares de tarjeta históricos.
- Listas blancas (es decir, relaciones de tarjetas que el merchant desea mantener, normalmente, tarjetas affinity).
- Datos impresos de las tarjetas.
- Datos obtenidos por los merchants por otros medios.
... ¿Todavía no me sigues en twitter.com/antonio_ramosga?
No hay comentarios:
Publicar un comentario