CERTIFICACIÓN
PCI PIN SECURITY

Desde BOTECH, junto a nuestro partner 1st Secure IT referente mundial en certificaciones PCI PIN Security en EEUU y Latinoamérica, impulsamos el cumplimiento de la normativa PCI PIN, para la protección del número de identificación personal.

Garantizar la gestión segura, el procesamiento y la transmisión del número PIN en las transacciones económicas.

Estándar aplicable a todas las entidades involucradas en procesamiento de transacciones online y offline con tarjetas de pago.

Esquematizar los requerimientos mínimos aceptables para la securización del componente PIN y las claves del cifrado.

Asistir a todos los participantes del sistema de pago minorista en el establecimiento de garantías de que los datos del PIN de los titulares de tarjetas no se vean comprometidos.

¿Qué es PCI PIN?

“Con esta normativa se gestiona, procesa y transmite de manera segura el número de identificación personal (PIN)”

Este estándar de PCI define 33 requerimientos de seguridad para la gestión, procesamiento y transmisión del número de identificación personal (PIN) durante transacciones online y offline relacionadas con tarjetas de pago en cajeros electrónicos y terminales de puntos de ventas.

El estándar PCI PIN es de obligatorio cumplimiento para todas las instituciones adquirientes y agentes responsables del procesamiento de transacciones con PIN de las tarjetas de las marcas del PCI Security Standards Council (VISA, MasterCard, AMEX, Discover y JCB) incluyendo servicios de inyección de claves y gestión de certificados y debe ser usado en conjunción con otros estándares aplicables de la industria (PCI DSS, PCI P2PE, etc.).

WEBINAR gratuito sobre PCI DSS

45 minutos para conocer en profundidad los beneficios de la normativa

El próximo 2 de abril a las 16 horas CET

Preguntas frecuentes

¿Cuáles son los 3 grupos de requerimientos relacionados con transacciones online y offline?

PCI PIN SECURITY ha creado 3 anexos para la administración de escenarios particulares:

  • Anexo A – Symmetric Key Distribution using Asymmetric Keys: Controles específicos para aquellas entidades encargadas de la distribución remota de claves de cifrado simétrico empleando claves asimétricas y aquellas entidades involucradas en la operación de Autoridades de Certificación (CA) para dichos propósitos.
  • Anexo B – Key-Injection Facilities: Requerimientos específicos para entidades que operan procesos de inyección.
  • Anexo C – Transaction Processing Operations: Anteriormente denominados “PIN Security Requirements”, este grupo de controles aplican a cualquier entidad relacionada con procesos de adquiriencia y/o procesamiento de transacciones basadas en PIN.
  • Enumera los algoritmos aprobados y la longitud mínima de claves a ser empleadas en este tipo de procesos.

¿Al aplicar la normativa PCI PIN SECURITY las propias de cada marca dejan de ser validas?

No, la publicación de estos estándares no implica que los programas propios de cada marca dejen de ser válidos. Por ejemplo, VISA PIN Security requiere que el documento de certificación sea cumplimentado anualmente.

¿Cuáles son los 33 requerimientos de seguridad?

Puedes encontrar más información sobre PCI PIN Security aquí.

¿Cuáles son los 7 Objetivos de Control?

  1. Los números de identificación personal (PIN) utilizados en las transacciones que se rigen por estos requisitos se procesan utilizando equipo y metodologías que aseguran que se mantengan seguras.
  2. Se crean las claves criptográficas utilizadas para el cifrado/descifrado de los PIN y la gestión de claves conexas utilizando procesos que aseguran que no es posible predecir ninguna clave o determinar que ciertas claves son más probables que otras claves.
  3. Las Key se transmiten de forma segura.
  4. Las Key-loading en los HSM y los dispositivos de entrada de PIN se maneja de forma segura.
  5. Las Key se utilizan de manera que se evita o detecta su uso no autorizado.
  6. Las Key se administran de forma segura.
  7. El equipo utilizado para procesar los números de identificación personal y las claves se gestiona de forma segura.

Metodología

El método de evaluación se realiza a través de los siguientes pasos:

1. Curso inicial de capacitación

Durante esta fase se abordan temas sobre conceptos generales, puntos clave para el cumplimiento y se fomenta la concienciación dentro de la organización.

2. Asesoramiento experto

Realización de entrevistas y revisión de la documentación necesaria para establecer y registrar los procesos activos y los proveedores involucrados que determinarán el alcance de PCI PIN.

3. GAP Analysis gratuito

GAP Analysis gratuito para nuevos clientes, mediante la recopilación de información, con el fin de analizar todos los procesos de seguridad existentes y determinar el nivel de cumplimiento de la organización.

4. Acompañamiento y asesoría

Un consultor QSA realiza visitas mensuales para una asesoría continua durante todo el proceso de implementación.

5. Auditoria in situ

Recuperamos información para determinar el debido cumplimiento del PCI PIN. La evaluación realizada consta en el informe final ROC (Report on Compliance) y AOC (Attestation of Compliance).

6. Revisión final

Elabora la documentación del estado de cumplimiento de PCI PIN y la posterior preparación del informe ROC y AOC.

¿Necesitas cumplir con el estándar PCI PIN?

  • Si tu organización gestiona, transmite o procesa el número PIN en transacciones económicas online y offline debes cumplir PCI PIN Security.
  • Transmite confianza y seguridad a tus clientes.
  • Certificamos en España, U.S.A y Latinoamérica.
  • Pregúntanos y nuestro equipo de expertos te resolverá cualquier duda.

Envíanos un correo a info@botechfpi.com o bien rellena el siguiente formulario de contacto