Una solución validada por P2PE puede empujar su rentabilidad.

El cifrado ayuda a proteger los datos sensibles. La tecnología que utiliza cifrado en el punto que acepte las tarjetas de pago hasta el punto que procesa los pagos es conocido como point-to-point encryption (P2PE) (encriptación de punto-a-punto).

La tecnología P2PE puede ayudar a los comerciantes con reducir el alcance del entorno de sus datos de titulares de tarjetas de pago y sus requerimientos PCI DSS, fundamentalmente ahorrar tiempo, esfuerzo y gastos durante sus evaluaciones anuales y proteger mejor los datos de titulares de tarjetas de pago (CHD) para todas las partes involucradas.

Mientras que implementaciones de estas tecnologías se incrementan, el Consejo de Normas de Seguridad PCI (PCI SSC) ha desarrollado directrices para construir, probar y desplegar soluciones que proporcionan fuerte apoyo para cumplimiento PCI DSS.

Quien lo necesita

Los requisitos P2PE ofrecen un método para proveedores de soluciones P2PE para validar sus soluciones y para los comerciantes para reducir el alcance de sus evaluaciones con PCI DSS cuando utilizar una solución validada por P2PE para aceptar y procesar tarjetas de pago.

Soluciones hardware/hardware

Los requisitos para la validación y los procedimientos para probar están actualmente centrados en cifrado basado en hardware y en soluciones de descifrado, también llamado "hardware/hardware." Soluciones hardware/hardware utilizan dispositivos seguros criptográficos para ambos cifrado y descifrado, incluir en el punto de aceptación comercial para el cifrado y dentro de Módulos de Seguridad Hardware (HSM) para el descifrado.

Proveedores de soluciones P2PE

El proveedor de soluciones P2PE es un tercero (por ejemplo, procesador, adquirente o puerta de acceso para pagos) que tiene la responsabilidad en total de diseñar e implementar una solución P2PE específico. El proveedor de soluciones (o directamente o indirectamente por tercerización) también mantiene soluciones P2PE, o tiene responsabilidades correspondientes, para sus clientes.

Responsabilidades

El proveedor de soluciones tiene que asegurarse de que todos los requisitos P2PE son cumplidos, incluyendo asegurar que se cumplen los requisitos P2PE por cualquier organizaciones terceras que realizan funciones P2PE en nombre del proveedor de soluciones, tales como las autoridades de certificación (AC) y facilidades de inyección de claves.

Además de un proveedor de solución P2PE, los requisitos para la solución nueva de hardware y para los procedimientos de ensayo también pueden afectar los fabricantes, desarrolladores de aplicaciones, terceros, comerciantes, revendedores y ensambladores del Punto de Interacción (POI).

Que hacemos

Sikich ofrece consultoría y servicios de validación P2PE para organizaciones que buscan inclusión formal con el PCI SSC para su solución o aplicación.

Para proveedores de soluciones P2PE

Como proveedor de soluciones P2PE, Sikich le ayuda en desarrollar los procedimientos adecuados y proporcionar una guía para la implementación de una solución eficaz para sus clientes comerciales a reducir el alcance de sus evaluaciones PCI DSS.

Trabajamos juntos para determinar el alcance de la revisión, incluyendo:

  • Proveedores terceros que deben evaluarse (por ejemplo, las facilidades de inyección de clave, autoridades de certificación (AC) o similares)
  • Dispositivos y aplicaciones utilizados en la solución P2PE
  • El entorno de descifrado, incluyendo todo los Módulos de Seguridad Hardware (HSM)
  • Los controles operacionales para la carga de claves, almacenamiento y mantenimiento de dispositivo
  • Cumplimiento con PCI DSS del entorno seguro de descifrado

Como parte de nuestro proyecto de colaboración, vamos a:

  • Identificar y evaluar el cumplimiento de todos los terceros pertinentes
  • Revisar los controles de seguridad física y operativos para cada una de las ubicaciones pertinentes
  • Evaluar las aplicaciones de pago y los dispositivos que componen la solución, incluyendo la implementación de la aplicación de pago de acuerdo con su Guía de Implementación (IG)
  • Evaluar y, en su caso, asistir en desarrollar políticas y procedimientos para todas las funciones pertinentes, incluyendo administración de dispositivos, gestión de claves, respuesta a incidentes, escalada de contacto e interacción con terceros
  • Revisar los contenidos, procedimientos de actualización y prácticas de distribución de su Manual de Instrucción P2PE (PIM) a sus clientes
  • Completar toda la otra documentación requerida, incluyendo ejecutar su Acuerdo con Proveedor para Publicación (VRA) P2PE

Para desarrolladores de aplicaciones P2PE

Como desarrollador de aplicaciones P2PE, Sikich revisa su aplicación de pago y todos los dispositivos aprobados por el estándar PCI de la Seguridad de Transacciones PIN (PCI PTS) para determinar si son adecuados para ser utilizados dentro de un proveedor de soluciones P2PE.

Durante la revisión, nosotros vamos a:

  • Examinar la aprobación PTS y las recomendaciones del fabricante para cada dispositivo en el que la aplicación funciona
  • Evaluar el proceso de desarrollo de software por los requisitos P2PE
  • Probar la funcionalidad de su aplicación y revisar el código fuente por los requisitos P2PE
  • Revisar su Manual de Instrucción P2PE (PIM) para el uso de proveedores de soluciones implementando su aplicación

Validar e informar

Una vez que su solución o aplicación P2PE cumple con todos los requerimientos P2PE, Sikich genera un Informe de Validación P2PE (P-ROV), para documentar su cumplimiento con los requisitos P2PE. Después de que su organización revisa y aprueba el informe, Sikich presenta su P-ROV al PCI SSC, junto con su Declaración de Validación (AOV) y su Acuerdo con Proveedor para Publicación (VRA) P2PE.

Para proveedores terceros

Para las organizaciones que ofrecen servicios terceros para proveedores de soluciones P2PE, tales como la inyección de clave o autoridad de certificación (AC), Sikich revisa su oferta contra los requisitos P2PE relevantes y prepara un P-ROV con los elementos apropiados completados, para detallar cómo su oferta soporta la solución P2PE. Usted es capaz de proporcionar esta P-ROV a sus clientes que son proveedores de soluciones P2PE o a sus socios de negocios.

Por las directivas del PCI SSC, como un QSA (P2PE) y un PA-QSA (P2PE), Sikich es incapaz de someterse el P-ROV para los servicios terceros (es decir, sus soluciones o aplicaciones P2PE) al PCI SSC para su lista formal, como el PCI SSC no acepta estos informes.

Blog: Requisitos P2PE y procedimientos de probar

Hace unas semanas, el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) lanzó la versión 1.1 de los Requerimientos de Soluciones Hardware P2PE y Procedimientos de Probar. Poco después, el PCI SSC celebró su primera sesión de entrenamiento para los evaluadores.

Sikich participaron y que ahora oficialmente somos certificados como Asesor de Seguridad Calificado para la Encriptación de Datos Punto-a-Punto (QSA (P2PE)) y también Asesor de Seguridad Calificado para las Aplicaciones de Pago para la Encriptación de Datos Punto-a-Punto (PA-QSA (P2PE)) por el PCI SSC.

Al igual que gran parte de la industria, que hemos esperando P2PE como niños esperando la Navidad, y aunque finalmente está aquí, tiene algunas complejidades y desafías para discutir. Leer más »

Obtenga su solución validada con la ayuda de los expertos.

Todo lo que necesita es su nombre y su número de teléfono o correo electrónico para obtener más información acerca de nuestros servicios y experiencia. Si desea, también podrá enviar detalles adicionales después de enviar su información aquí.