Llegamos a ustedes gracias a:



Noticias

Grupo de seguridad PCI habla sobre la encriptación

[06/10/2010] El martes, la organización a cargo de definir la seguridad de los proveedores de servicios y comerciantes de la industria de tarjetas de pago, emitió dos guías: la primera sobre la encriptación end to end y la segunda sobre la tecnología de tarjetas de pago más usada en Europa y Estados Unidos.

Hay un considerable interés entre los proveedores de servicios y comerciantes en usar alguna forma de encriptamiento punto a punto para proteger mejor los datos del tarjetahabiente, y el Initial Roadmap: Point-to-Point Encryption Technology and PCI DSS Compliance del Consejo de Estándares de Seguridad de la PCI (Payment Card Industry o Industria de las tarjetas de pago) apunta a ayudar a los comerciantes a entender lo que actualmente piensa el consejo sobre el tópico. El paper sugiere que el consejo está buscando establecer un proceso de evaluación definido en base al PCI para los productos que soportan encriptamiento punto a punto en el ambiente de los datos del tarjetahabiente.
De acuerdo con la hoja de ruta del encriptamiento punto a punto, el consejo planea emitir otro documento, llamado tentativamente Validation Requirements for Point-to-Point Encryption que buscará definir los requerimientos y el proceso para validar en forma efectiva las soluciones de encripción punto a punto usadas para proteger los datos del tarjetahabiente. Se espera que este documento sea emitido el próximo año, señala el gerente general del consejo, Bob Russo.
El encriptamiento punto a punto necesita ser claramente definido, afirma Russo, señalando que el consejo desea determinar un camino hacia la validación en laboratorio de los productos y además proporcionar información sobre la forma en que el uso del encriptamiento punto a punto de los datos del tarjetahabiente puede afectar la forma en que el alcance del cumplimiento PCI en una organización debe ser determinado.
El alcance, como se le llama, siempre ha sido un tema de discusión en el cumplimiento PCI ya que intenta establecer algún tipo de límites en la red de una organización y en los procesos relacionados con el manejo de las tarjetas de pago, lo cual puede ser difícil.
Cada año, todos los negocios que aceptan las tarjetas de pago deben demostrar el cumplimiento del PCI Data Security Standard (DSS), entre otros posibles requerimientos, y usar el encriptamiento punto a punto podría eventualmente cambiar la forma en que es considerado el alcance de la PCI.
La guía del consejo establece: el supuesto del encriptamiento punto a punto es que los datos del tarjetahabiente en tránsito se encuentran protegidos cuando están encriptados en la medida en que la entidad se encuentra solo en posesión del ciphertext no puede revertir el proceso de encriptamiento.
Sin embargo, el documento señala que el uso del encriptamiento punto a punto genera nuevas preguntas acerca de sistemas de administración de llaves apropiadas y otros complejos factores técnicos que podrían estar relacionados con el uso de las tecnologías de encriptamiento punto a punto. El consejo también señala que hay preocupación en torno al amarre con el proveedor.
Troy Leach, chief standards architect del consejo señala que la meta es tan tecnológicamente agnóstica como sea posible en la búsqueda de la forma en que se soporta el encriptamiento punto a punto, con énfasis en el entendimiento de cómo los productos pueden afectar el alcance y evaluación del cumplimiento PCI.
Documento EMV emitido
La segunda guía emitida por el consejo hoy se relaciona con el EMV, una tecnología de tarjeta de pago más usada en Europa que en Estados Unidos, aunque hay un creciente interés en la adopción del EMV en Estados Unidos también.
Leach señaló que el EMV es un estándar global que ha existido por muchos años y que ofrece la oportunidad de reducir el fraude en situaciones en la que la tarjeta se encuentra presente.
Pero con el EMV, la información sensible aún es pasada. Así, desde el punto de vista del consejo, que se especifica en el documento PCI DSS Applicability in an EMV Environment, el EMV no satisface en forma automática todos los requerimientos PCI DSS para la protección del tarjetahabiente y los datos de autenticación sensibles.
Básicamente estamos diciendo que son tecnologías complementarias y que el EMV por sí solo no es suficiente, señaló Russo.
Ellen Messmer, Network World (US)