CERTIFICACIÓN PCI PIN SECURITY

Desde BOTECH, como QPAs, impulsamos el cumplimiento de la normativa PCI PIN, para la protección del número de identificación personal

- A nivel mundial hay solo 70 empresas Qualified PIN Assessor.
- Somos una de las 2 únicas empresas españolas QPA
- Y solo tres QPAs trabajan en empresas españolas

¿Qué es PCI PIN?

“Con esta normativa se gestiona, procesa y transmite de manera segura el número de identificación personal (PIN)”

La certificación PCI PIN define 33 requerimientos de seguridad para la gestión, procesamiento y transmisión del número de identificación personal (PIN) durante transacciones online y offline relacionadas con tarjetas de pago en cajeros electrónicos y terminales de puntos de ventas.

Este estándar es de obligatorio cumplimiento para todas las instituciones adquirientes y agentes responsables del procesamiento de transacciones con PIN de las tarjetas de las marcas del PCI Security Standards Council (VISA, MasterCard, AMEX, Discover y JCB) incluyendo servicios de inyección de claves y gestión de certificados y debe ser usado en conjunción con otros estándares aplicables de la industria (PCI DSS, PCI P2PE, etc.).de comercio electrónico y, al mismo tiempo, protege al comercio de fraude.

¿Sabías que la certificación PCI PIN define 33 requerimientos de seguridad para la gestión, procesamiento y transmisión del número PIN durante transacciones online y offline relacionadas con tarjetas de pago?

1.

Garantiza la gestión segura, el procesamiento y la transmisión del número PIN en las transacciones económicas.

2.

Estándar aplicable a todas las entidades involucradas en procesamiento de transacciones online y offline con tarjetas de pago.

3.

Esquematiza los requerimientos mínimos aceptables para la securización del componente PIN y las claves del cifrado.

4.

Asiste a todos los participantes del sistema de pago minorista en el establecimiento de garantías de que los datos del PIN de los titulares de tarjetas no se vean comprometidos.

Metodología

El método de evaluación se realiza a través de los siguientes pasos:

1. Curso inicial de capacitación

Durante esta fase se abordan temas sobre conceptos generales, puntos clave para el cumplimiento y se fomenta la concienciación dentro de la organización.

2. Asesoramiento experto

Realización de entrevistas y revisión de la documentación necesaria para establecer y registrar los procesos activos y los proveedores involucrados que determinarán el alcance de PCI PIN.

3. GAP Analysis

GAP Analysis para nuevos clientes, mediante la recopilación de información, con el fin de analizar todos los procesos de seguridad existentes y determinar el nivel de cumplimiento de la organización.

4. Acompañamiento y asesoría

Un consultor QPA realiza visitas mensuales para una asesoría continua durante todo el proceso de implementación.

5. Auditoria in situ

Recuperamos información para determinar el debido cumplimiento del PCI PIN. La evaluación realizada consta en el informe final ROC (Report on Compliance) y AOC (Attestation of Compliance).

6. Revisión final

Elabora la documentación del estado de cumplimiento de PCI PIN y la posterior preparación del informe ROC y AOC.

¿Cuáles son los 3 grupos de requerimientos relacionados con transacciones online y offline?

Transaction Processing Operations: este grupo de controles aplican a cualquier entidad relacionada con procesos de adquiriencia y/o procesamiento de transacciones basadas en PIN.

  • Anexo A – Symmetric Key Distribution using Asymmetric Keys: Controles específicos para aquellas entidades encargadas de la distribución remota de claves de cifrado simétrico empleando claves asimétricas y aquellas entidades involucradas en la operación de Autoridades de Certificación (CA) para dichos propósitos.
  • Anexo B – Key-Injection Facilities: Requerimientos específicos para entidades que operan procesos de inyección.
  • El anexo C, existe pero no se menciona aquí porque no contiene requerimientos, sino especificaciones.

Los 7 Objetivos de Control

  • Los números de identificación personal (PIN) utilizados en las transacciones que se rigen por estos requisitos se procesan utilizando equipo y metodologías que aseguran que se mantengan seguras.
  • Se crean las claves criptográficas utilizadas para el cifrado/descifrado de los PIN y la gestión de claves conexas utilizando procesos que aseguran que no es posible predecir ninguna clave o determinar que ciertas claves son más probables que otras claves.
  • Las claves se transmiten de forma segura.
  • Las claves de carga en los HSM y los dispositivos de entrada de PIN se maneja de forma segura.
  • Las claves se utilizan de manera que se evita o detecta su uso no autorizado.
  • Las claves se administran de forma segura.
  • El equipo utilizado para procesar los números de identificación personal y las claves se gestiona de forma segura.

Los 33 requerimientos de seguridad

Puedes encontrar más información sobre PCI PIN Security aquí.

¿Al aplicar la normativa PCI PIN SECURITY las propias de cada marca dejan de ser validas?

No, la publicación de estos estándares no implica que los programas propios de cada marca dejen de ser válidos. Por ejemplo, VISA PIN Security requiere que el documento de certificación sea cumplimentado anualmente.

¿Necesitas cumplir con PCI PIN y no sabes cómo hacerlo? ¡Pregúntanos!

Envíanos un correo a info@botechfpi.com o bien rellena el siguiente formulario de contacto

pexels-fauxels-3184465