El cifrado punto a punto (P2PE) es un estándar establecido por el PCI Security Standards Council . Las soluciones de pago que ofrecen un cifrado similar pero que no cumplen con el estándar P2PE se denominan soluciones de cifrado de extremo a extremo (E2Ee). El objetivo de P2PE y E2Ee es proporcionar una solución de seguridad de pago que convierte instantáneamente datos e información confidenciales de tarjetas de pago (tarjetas de crédito y débito ) en un código indescifrable en el momento en que se pasa la tarjeta para evitar piratería y fraude . Está diseñado para maximizar la seguridad de las transacciones con tarjetas de pago en un entorno regulatorio cada vez más complejo.
El estandar
El Estándar P2PE define los requisitos que debe cumplir una "solución" para ser aceptada como una solución P2PE validada por PCI. Una "solución" es un conjunto completo de hardware, software, puerta de enlace, descifrado, manejo de dispositivos, etc. Sólo se pueden validar las "soluciones"; Las piezas individuales de hardware, como los lectores de tarjetas, no se pueden validar. También es un error común referirse a las soluciones validadas por P2PE como "certificadas"; no existe tal certificación.
La determinación de si una solución cumple o no con el estándar P2PE es responsabilidad de un asesor de seguridad calificado P2PE (P2PE-QSA). Las empresas P2PE-QSA son empresas independientes de terceros que emplean a asesores que han cumplido con los requisitos de educación y experiencia del PCI Security Standards Council y han aprobado el examen requerido. El PCI Security Standards Council no valida soluciones.
Cómo funciona
Cuando se pasa una tarjeta de pago a través de un dispositivo de lectura de tarjetas, denominado dispositivo de punto de interacción (POI), en la ubicación del comerciante o punto de venta , el dispositivo encripta inmediatamente la información de la tarjeta. Un dispositivo que forma parte de una solución P2PE validada por PCI utiliza un cálculo algorítmico para cifrar los datos confidenciales de la tarjeta de pago. Desde el PDI, los códigos encriptados e indescifrables se envían a la pasarela de pago o al procesador para su desencriptación. [ cita requerida ] Las claves para el cifrado y descifrado nunca están disponibles para el comerciante, lo que hace que los datos de la tarjeta sean completamente invisibles para el minorista. Una vez que los códigos cifrados están dentro de la zona de datos segura del procesador de pagos, los códigos se descifran a los números de la tarjeta original y luego se pasan al banco emisor para su autorización. El banco aprueba o rechaza la transacción, según el estado de la cuenta de pago del titular de la tarjeta. Luego, se notifica al comerciante si el pago es aceptado o rechazado para completar el proceso junto con un token que el comerciante puede almacenar. Este token es una referencia numérica única a la transacción original que el comerciante puede usar si alguna vez fuera necesario para realizar una investigación o reembolsar al cliente sin conocer la información de la tarjeta del cliente ( tokenización ). También existen Compañías de Integrador y Revendedor Calificadas (QIR), que son empresas autorizadas para "implementar, configurar y / o dar soporte a Aplicaciones de Pago PA-DSS validadas" y realizar instalaciones calificadas. [1]
Proveedores de soluciones
Según el PCI Security Standards Council:
El proveedor de la solución P2PE es una entidad de terceros (por ejemplo, un procesador, adquirente o pasarela de pago) que tiene la responsabilidad general del diseño y la implementación de una solución P2PE específica y administra las soluciones P2PE para sus clientes comerciales. El proveedor de la solución tiene la responsabilidad general de garantizar que se cumplan todos los requisitos de P2PE, incluidos los requisitos de P2PE realizados por organizaciones de terceros en nombre del proveedor de la solución (por ejemplo, las autoridades de certificación y las instalaciones de inyección de claves). [2]
Beneficios
Beneficios del cliente
P2PE reduce significativamente el riesgo de fraude con tarjetas de pago al cifrar instantáneamente los datos confidenciales del titular de la tarjeta en el momento en que se desliza o 'sumerge' una tarjeta de pago si es una tarjeta con chip en el dispositivo de lectura de tarjetas (terminal de pago) o PDI.
Beneficios comerciales
P2PE facilita significativamente las responsabilidades del comerciante:
- Con una solución validada por P2PE, los comerciantes ahorran mucho tiempo y dinero, ya que los requisitos de PCI pueden reducirse considerablemente. Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS). Para las organizaciones que utilizan un proveedor de soluciones validadas por P2PE, el Cuestionario de autoevaluación de PCI se reduce de 12 secciones a 4 secciones y los controles se reducen de 329 preguntas a solo 35. [3]
- En caso de fraude, el Proveedor de soluciones P2PE, no el comerciante, es responsable de la pérdida de datos y las multas resultantes que pueden ser impuestas por las marcas de tarjetas (American Express, Visa, MasterCard, Discover y JCB). El PCI Security Standards Council no aplica sanciones a los proveedores de soluciones ni a los comerciantes. [ cita requerida ]
- El proceso de pago con P2PE es más rápido que otros procesos de transacción; creando así transacciones cliente-comerciante más sencillas y rápidas. [ cita requerida ]
Cifrado de punto a punto frente a cifrado de extremo a extremo
Punto a punto
Una conexión punto a punto vincula directamente el sistema 1 (el punto de aceptación de la tarjeta de pago) con el sistema 2 (el punto de procesamiento del pago). Una verdadera solución de P2PE se determina con tres factores principales:
- La solución utiliza un proceso de cifrado y descifrado de hardware a hardware junto con un dispositivo de PDI que tiene SRED (Lectura e intercambio de datos seguros) como función.
- La solución ha sido validada según el estándar PCI P2PE, que incluye requisitos específicos del dispositivo POI, como controles estrictos con respecto al envío, la recepción, el embalaje y la instalación a prueba de manipulaciones.
- Una solución incluye la educación del comerciante en forma de un Manual de instrucciones P2PE, que guía al comerciante sobre el uso, el almacenamiento, la devolución para reparaciones y los informes PCI regulares del dispositivo de PDI.
De extremo a extremo
El cifrado de un extremo a otro, como su nombre indica, tiene la ventaja sobre P2PE de que los detalles de la tarjeta no se descifran entre los dos puntos finales. Si los puntos finales son un teclado de PIN validado por PCI PED y un adquirente de POS, no hay oportunidad de que se intercepten los detalles de la tarjeta. Obviamente, es importante que los puntos finales (el PED y la puerta de enlace) sean proporcionados por organizaciones acreditadas por PCI.
Requisitos de cifrado PCI punto a punto
Los requisitos incluyen:
- Cifrado seguro de los datos de la tarjeta de pago en el punto de interacción (POI),
- Aplicaciones validadas por P2PE en el punto de interacción,
- Gestión segura de dispositivos de cifrado y descifrado,
- Gestión del entorno de descifrado y todos los datos de la cuenta descifrados,
- Uso de metodologías de cifrado seguro y operaciones de claves criptográficas, incluida la generación, distribución, carga / inyección, administración y uso de claves. [ cita requerida ]
Referencias
- ^ Estándares de seguridad PCI: Evaluadores y soluciones
- ^ "Preguntas frecuentes sobre P2PE" (PDF) . Agosto 2012.
- ^ "Cuestionario de autoevaluación estándar de seguridad de datos de la industria de tarjetas de pago (PCI) P2PE-HW y atestación de cumplimiento" . Consultado el 19 de abril de 2015 .