“¿Puede venderme un lector certificado PCI DSS?” es la pregunta equivocada

En ID TECH recibimos muchas consultas técnicas sobre el sector de los pagos. A veces, hay confusión en torno a los requisitos de la Payment Card Industry. Por ejemplo, nos preguntan cosas como: “¿Pueden facilitarme un certificado PCI DSS para estos dispositivos?” o “No veo el producto X en la web de PCI, ¿está certificado P2PE?”.

Son preguntas habituales, pero muchas veces parten de premisas erróneas. Si se asume que los dispositivos no certificados por PCI son intrínsecamente menos seguros que los certificados, sencillamente no es así.

ID TECH puede suministrar hardware certificado PCI PTS SRED (como el SREDKey que aparece a la derecha, o el Augusta S, Spectrum Pro, SecuRED, VP8800, entre otros), pero nuestros dispositivos no SRED siguen siendo equipos altamente seguros, válidos para la mayoría de las soluciones de pago que se desarrollan actualmente en el mercado.

PCI DSS es una solución integral que exige la certificación de todos los componentes de un sistema de pago, no solo del hardware. PCI DSS incluye 12 requisitos específicos sobre cómo una solución conforme debe gestionar la seguridad del acceso y los datos del titular de la tarjeta. Los siguientes puntos están extraídos directamente de la documentación de PCI.

Objetivos de control

Requisitos de PCI DSS

Al leer estos requisitos, no se encuentra ninguna mención sobre qué hardware periférico de pago debe incluir un proveedor de soluciones según PCI. A PCI le interesa, sobre todo, que cumpla con los requisitos, y no tanto cómo los cumple. Cuando un proveedor de soluciones busca la certificación PCI DSS, podría utilizar un lector sin cifrado, pero eso expondría la solución a un escrutinio adicional sobre cómo el sistema gestiona la información sensible. Si se utiliza un lector de tarjetas con cifrado, en el que el comercio no tiene capacidad para descifrar los datos de la tarjeta ni en local ni dentro del entorno de pago, es muy probable que el QSA (Qualified Security Assessor) pueda ayudar al comercio a obtener una valiosa reducción del alcance en los requisitos n.º 3, 4 y 9. (Aunque corresponde al auditor determinar el nivel real de reducción del alcance.)

Muy pocos requisitos de PCI están relacionados con el hardware. El único hardware que PCI certifica como tal son los denominados dispositivos PCI PTS (PIN Transaction Security) o “SRED”, donde reside el requisito de Secure Reading and Exchange of Data (SRED). Los dispositivos no SRED pueden tener (y normalmente tienen) las mismas funciones de cifrado que los SRED, pero las versiones no SRED no incorporan los mecanismos antimanipulación necesarios para que un producto pueda calificarse como SRED. (Conviene señalar también que PCI impone normas estrictas a los fabricantes sobre el desarrollo seguro del software, su actualización segura, etc. Los dispositivos SRED deben ser seguros de principio a fin de su ciclo de vida). Los dispositivos con cifrado de ID TECH (incluso los que no son “SRED”) pueden considerarse técnicamente conformes con PCI, ya que se utilizan en muchas soluciones actualmente certificadas como PCI DSS, pero los lectores en sí no están “certificados por PCI”. La certificación PCI DSS se aplica a la solución completa. No es una norma a nivel de dispositivo.

P2PE

Existe una idea errónea muy extendida en el sector de los pagos en torno al “P2PE” (Point to Point Encryption). En muchas ocasiones, cuando alguien dice “P2PE”, en realidad se refiere a E2EE (cifrado de extremo a extremo). Cuando un comercio implanta un sistema de pago que cifra los datos del titular de la tarjeta a nivel de hardware antes de enviarlos a la aplicación de TPV, que a su vez los transmite cifrados a una pasarela de pago (remota), eso se considera cifrado de “extremo a extremo”. P2PE es una certificación oficial de PCI que abarca todos los aspectos de una transacción: el hardware utilizado (que debe ser SRED), el entorno de implantación, el tratamiento de los datos (que debe ajustarse a la normativa P2PE), la aplicación de pago y la instalación de inyección de claves y descifrado. El mero hecho de contar con un dispositivo SRED no convierte automáticamente al sistema en conforme con P2PE.

Conviene saber que las certificaciones P2PE son extremadamente costosas y poco habituales. La mayoría de quienes creen que necesitan “P2PE” en realidad no lo necesitan. Analice bien sus necesidades.

¿Tiene dudas sobre la certificación PCI o sobre la seguridad de los dispositivos de pago? Los expertos técnicos de ID TECH estarán encantados de ayudarle. Llámenos cuando quiera al:

Número gratuito
1-800-984-1010

El artículo de este mes ha sido redactado por Jason Hall, Product Manager de Soluciones Desatendidas en ID TECH, con la colaboración de Kas Thomas.