Bluefin

ID TECH se asocia con Bluefin para ofrecer soluciones P2PE validadas por PCI

En marzo de 2014, Bluefin Payment Systems se convirtió en la primera empresa norteamericana en obtener la validación de la Payment Card Industry (PCI) para una solución de cifrado punto a punto (P2PE).

En el momento de la validación de Bluefin, solo otras dos empresas en el mundo —ambas europeas— habían logrado esta exigente certificación.

Bluefin comenzó a trabajar para conseguir la codiciada validación P2PE a mediados de 2012. Como Organización Participante (PO) del Security Standards Council (SSC) de PCI, la compañía de pagos con sede en Georgia consideró fundamental adoptar el nuevo estándar P2PE de PCI.

Según Miles, los comercios y las empresas suelen adoptar un enfoque de seguridad basado en "defender los datos", reforzando sus recursos y elevando los cortafuegos para mantener a raya a los ciberdelincuentes. Pero el verdadero propósito de P2PE, añade Ruston, es desvalorizar los datos del titular de la tarjeta —en el punto de interacción— mediante el cifrado, evitando que existan datos en texto claro dentro del sistema del comercio o de la empresa y volviéndolos, por tanto, inservibles para los atacantes.

Bluefin estaba convencida de que el sector de los pagos debía avanzar hacia la "desvalorización de los datos" y que el P2PE validado por PCI era la mejor forma de lograrlo.

Los primeros dispositivos certificados P2PE con ID TECH

Todo proveedor de soluciones P2PE validadas por PCI debe certificar todos los dispositivos PCI P2PE que componen la solución conforme a los rigurosos estándares de PCI. Una solución completa no puede mantener su inclusión en la lista PCI P2PE si no se han «validado» con éxito todos los dispositivos que la integran.

Los esfuerzos de validación de Bluefin en 2014 se centraron en los lectores de tarjetas SecuRED y SREDKey de ID TECH. En los primeros meses, Bluefin llevó a cabo su primer gran despliegue P2PE con The Hillman Group, utilizando el SecuRED, un lector de banda magnética con tecnología Secure Reading and Exchange of Data (SRED).

El SecuRED de ID TECH para entornos de retail

Fundada en 1964, The Hillman Group ofrece una amplia gama de productos para uso comercial y residencial a más de 21.000 empresas, entre ellas Lowe’s, Home Depot, PetSmart, PETCO, Sears, Ace Hardware, True Value y Walmart. Hillman es líder en el mercado actual de fijaciones, llaves, letras, números, carteles (LNS) y grabado.

The Hillman Group eligió la solución de Bluefin con SecuRED de ID TECH para su kiosko automatizado de grabado personalizado, como forma de reducir el número de requisitos de PCI DSS aplicables a su CDE, al tiempo que protege su marca frente a la posibilidad de una costosa filtración de datos de tarjetas. A día de hoy, la compañía ha desplegado más de 2.000 dispositivos SecuRED en sus kioskos.

«Una buena regla general para las empresas es: si no necesitas tocar la tarjeta, no lo hagas», afirma Ruston Miles, de Bluefin. «Evita la patata caliente. EMV, P2PE y la tokenización son la materialización de ese principio. Las soluciones P2PE cifran los datos en cualquier punto de interacción, y la tokenización los protege en cada punto de almacenamiento, lo que hace que sea absolutamente esencial usarlas en combinación con otras tecnologías».

Además de ser más seguras —que es el objetivo principal—, las soluciones de pago PCI P2PE ofrecen un mejor retorno de la inversión para los comercios, ya que con el tiempo reducen drásticamente el coste del cumplimiento normativo.

“«Con P2PE, el 90 por ciento de las acciones que los comercios realizan para protegerse bajo los requisitos de PCI desaparecen, al reducirse el alcance. Eso facilita mucho la vida», señala Miles.

Además del SecuRED, Bluefin ha desplegado más de 11.000 dispositivos SREDKey de ID TECH desde su validación en 2014. El SREDKey (que combina un teclado con un lector de banda magnética) es una solución ideal para centros de llamadas y determinados entornos con tarjeta presente —como consultas médicas— donde EMV no resulta imprescindible.

SREDKey de ID TECH para centros de llamadas

En 2016, el proveedor de software para centros de llamadas Intelligent Contacts se conectó a la solución Decryptx® de Bluefin, que permite a las pasarelas y plataformas de software ofrecer a sus clientes la solución P2PE validada por PCI de Bluefin sin necesidad de modificar su integración de software actual ni su flujo de pago. Intelligent Contacts utilizó el terminal de pago SREDKey para proporcionar una entrada segura de tarjetas mediante una sencilla interfaz de teclado.

«Los centros de llamadas llevan décadas aceptando pagos por teléfono, pero con tantas filtraciones de datos sonadas y normas mucho más estrictas sobre cómo deben tratarse los datos de las tarjetas de crédito, el sector buscaba ayuda externa para mantener la certificación PCI», explicó Jeff Mains, director ejecutivo de Intelligent Contacts. «Además, un centro de llamadas es tan seguro como su ordenador menos seguro: mantener cada terminal lo suficientemente protegido para resistir un ataque de tipo man-in-the-middle, o incluso una auditoría PCI, puede convertirse en una pesadilla para el equipo de TI».

Uno de los primeros clientes de Intelligent Contacts en adoptar la solución P2PE fue un importante proveedor de herramientas de ciclo de ingresos y soporte de facturación administrativa para el sector sanitario. Con más de 1.000 agentes introduciendo datos de tarjetas de crédito en sus ordenadores cada día, tener que obtener la certificación PCI cada año era un proceso muy complicado.

La solución consistió en dejar de introducir los datos de las tarjetas de crédito en los ordenadores. En su lugar, se proporcionó a cada agente su propio terminal P2PE.

«Al utilizar dispositivos homologados por PCI para procesar todos los pagos, la empresa eliminó aproximadamente el 95 % de su exposición a PCI», afirmó Mains.

Incorporación de nuevos dispositivos de pago de ID TECH a otros mercados

Bluefin ha incorporado recientemente el Spectrum Pro y el Augusta S de ID TECH a su lista de dispositivos P2PE certificados. El Spectrum Pro, un lector híbrido de banda magnética y tarjeta inteligente con certificación PCI-PTS 4.x y SRED, es una solución ideal para entornos de autoservicio en exteriores, gracias a su durabilidad, robustez y facilidad de instalación.

El Augusta S es un lector de sobremesa dual de banda magnética y EMV que ofrece una vía sencilla de actualización a EMV sin la complejidad ni la carga de implementar una solución completa con teclado PIN. Al igual que el Spectrum Pro, el Augusta S cuenta con certificación SRED, combinando cifrado permanente con sofisticadas funciones antimanipulación.

ID TECH está colaborando activamente con Bluefin y un tercero para llevar el Spectrum Pro al mercado de combustible para flotas. Disponer de una solución validada P2PE en el sector del combustible es clave para reducir el fraude en los surtidores.

«En ID TECH somos conscientes de que el segmento desatendido ofrece grandes oportunidades para nuestra gama de productos EMV certificados P2PE. Nuestra prolongada colaboración con Bluefin nos ha permitido hacer crecer nuestra empresa y nuestra marca en este mercado tan competitivo, y aspiramos a lograr el mismo éxito en los pagos desatendidos y más allá», declaró Justin Ning, vicepresidente de Gestión de Producto y Marketing de ID TECH. «Actualmente estamos trabajando con un actor reconocido del sector financiero para implementar el Spectrum Pro en surtidores de gasolina, donde la seguridad y la durabilidad son fundamentales. ¡Estamos muy entusiasmados con este nuevo proyecto y su potencial de crecimiento!».

Desde hace más de 30 años, ID TECH es líder del sector en el desarrollo de soluciones de pago seguras. Para más información sobre ID TECH, visite www.idtechproducts.com.