Cifrado punto a punto

Tipo de estándar de cifrado

El cifrado punto a punto (P2PE) es un estándar establecido por el PCI Security Standards Council . Las soluciones de pago que ofrecen cifrado similar pero que no cumplen con el estándar P2PE se denominan soluciones de cifrado de extremo a extremo (E2EE). El objetivo de P2PE y E2EE es proporcionar una solución de seguridad de pagos que convierte instantáneamente datos e información confidenciales de tarjetas de pago ( tarjetas de crédito y débito ) en códigos indescifrables en el momento en que se pasa la tarjeta, para evitar piratería informática y fraude . Está diseñado para maximizar la seguridad de las transacciones con tarjetas de pago en un entorno regulatorio cada vez más complejo.

el estandar

El estándar P2PE define los requisitos que debe cumplir una "solución" para ser aceptada como una solución P2PE validada por PCI. Una "solución" es un conjunto completo de hardware, software, puerta de enlace, descifrado, manejo de dispositivos, etc. Sólo se pueden validar "soluciones"; Las piezas individuales de hardware, como los lectores de tarjetas, no se pueden validar. También es un error común referirse a las soluciones validadas por P2PE como "certificadas"; no existe tal certificación.

La determinación de si una solución cumple o no con el estándar P2PE es responsabilidad de un asesor de seguridad calificado de P2PE (P2PE-QSA). Las empresas P2PE-QSA son empresas independientes de terceros que emplean asesores que han cumplido con los requisitos de educación y experiencia del PCI Security Standards Council y han aprobado el examen requerido. El PCI Security Standards Council no valida soluciones.

como funciona

Cuando se pasa una tarjeta de pago a través de un dispositivo de lectura de tarjetas, denominado dispositivo de punto de interacción (POI), en la ubicación del comerciante o punto de venta , el dispositivo cifra inmediatamente la información de la tarjeta. Un dispositivo que forma parte de una solución P2PE validada por PCI utiliza un cálculo algorítmico para cifrar los datos confidenciales de la tarjeta de pago. Desde el punto de interés, los códigos cifrados e indescifrables se envían a la pasarela de pago o al procesador para su descifrado. ^{[ cita necesaria ]} Las claves de cifrado y descifrado nunca están disponibles para el comerciante, lo que hace que los datos de la tarjeta sean completamente invisibles para el minorista. Una vez que los códigos cifrados están dentro de la zona de datos segura del procesador de pagos, los códigos se descifran a los números de tarjeta originales y luego se pasan al banco emisor para su autorización. El banco aprueba o rechaza la transacción, según el estado de la cuenta de pago del titular de la tarjeta. Luego se notifica al comerciante si el pago se acepta o rechaza para completar el proceso junto con un token que el comerciante puede almacenar. Este token es una referencia numérica única a la transacción original que el comerciante puede usar en caso de que alguna vez sea necesario para realizar una investigación o reembolsar al cliente sin siquiera conocer la información de la tarjeta del cliente ( tokenización ). También existen empresas de integradores y revendedores calificados (QIR), que son empresas autorizadas para "implementar, configurar y/o respaldar aplicaciones de pago PA-DSS validadas" y realizar instalaciones calificadas. ^[1]

Proveedores de soluciones

Según el Consejo de Normas de Seguridad PCI:

El proveedor de soluciones P2PE es una entidad de terceros (por ejemplo, un procesador, adquirente o pasarela de pago) que tiene la responsabilidad general del diseño y la implementación de una solución P2PE específica y gestiona las soluciones P2PE para sus clientes comerciales. El proveedor de la solución tiene la responsabilidad general de garantizar que se cumplan todos los requisitos de P2PE, incluidos los requisitos de P2PE realizados por organizaciones de terceros en nombre del proveedor de la solución (por ejemplo, autoridades de certificación e instalaciones de inyección de claves). ^[2]

Beneficios

Beneficios para el cliente

P2PE reduce significativamente el riesgo de fraude con tarjetas de pago al cifrar instantáneamente los datos confidenciales del titular de la tarjeta en el momento en que se pasa o "sumerge" una tarjeta de pago si es una tarjeta con chip en el dispositivo de lectura de tarjetas (terminal de pago) o POI.

Beneficios comerciales

P2PE facilita significativamente las responsabilidades de los comerciantes:

• Con una solución validada por P2PE, los comerciantes ahorran mucho tiempo y dinero, ya que los requisitos de PCI pueden reducirse considerablemente. Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS). Para las organizaciones que utilizan un proveedor de soluciones validado por P2PE, el Cuestionario de autoevaluación PCI se reduce de 12 secciones a 4 secciones y los controles se reducen de 329 preguntas a solo 35. ^[3]
• En caso de fraude, el proveedor de soluciones P2PE, no el comerciante, es responsable de la pérdida de datos y las multas resultantes que pueden imponer las marcas de tarjetas (American Express, Visa, MasterCard, Discover y JCB). El PCI Security Standards Council no impone sanciones a los proveedores de soluciones ni a los comerciantes. ^{[ cita necesaria ]}
• El proceso de pago con P2PE es más rápido que otros procesos de transacción, creando así transacciones entre cliente y comerciante más simples y rápidas. ^{[ cita necesaria ]}

Cifrado punto a punto versus cifrado de extremo a extremo

Punto a punto

Una conexión punto a punto vincula directamente el sistema 1 (el punto de aceptación de la tarjeta de pago) con el sistema 2 (el punto de procesamiento de pagos). Una verdadera solución P2PE se determina con tres factores principales:

1. La solución utiliza un proceso de cifrado y descifrado de hardware a hardware junto con un dispositivo PDI que tiene SRED (lectura segura e intercambio de datos) como función.
2. La solución ha sido validada según el estándar PCI P2PE, que incluye requisitos específicos para dispositivos de puntos de interés, como controles estrictos relacionados con el envío, la recepción, el embalaje a prueba de manipulaciones y la instalación.
3. Una solución incluye educación para comerciantes en forma de un manual de instrucciones de P2PE, que orienta al comerciante sobre el uso, el almacenamiento, la devolución para reparación y los informes PCI periódicos del dispositivo POI.

De extremo a extremo

El cifrado de extremo a extremo, como su nombre indica, tiene la ventaja sobre P2PE de que los datos de la tarjeta no quedan descifrados entre los dos puntos finales. Si los puntos finales son un teclado PIN validado por PCI PED y un adquirente de POS, no hay posibilidad de que se intercepten los detalles de la tarjeta. Obviamente es importante que los puntos finales (el PED y la puerta de enlace) sean proporcionados por organizaciones acreditadas por PCI.

Requisitos de cifrado PCI punto a punto

Los requisitos incluyen:

1. Cifrado seguro de los datos de la tarjeta de pago en el punto de interacción (POI),
2. Aplicaciones validadas P2PE en el punto de interacción,
3. Gestión segura de dispositivos de cifrado y descifrado,
4. Gestión del entorno de descifrado y de todos los datos de la cuenta descifrados.
5. Uso de metodologías de cifrado seguras y operaciones de claves criptográficas, incluida la generación, distribución, carga/inyección, administración y uso de claves. ^{[ cita necesaria ]}

Referencias

1. Estándares de seguridad PCI: evaluadores y soluciones
2. "Preguntas frecuentes sobre P2PE" (PDF) . Agosto de 2012.
3. "Cuestionario de autoevaluación del estándar de seguridad de datos de la industria de tarjetas de pago (PCI) P2PE-HW y certificación de cumplimiento" . Consultado el 19 de abril de 2015 .