Cifrado de punto a punto (P2PE)
El Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) define, articula y hace cumplir los requisitos de seguridad para la industria de pagos, incluidos los estándares PCI Point-to-Point Encryption (P2PE). A través de estos estándares, el PCI SSC detalla cómo los proveedores de soluciones P2PE pueden validar sus soluciones y cómo, al aprovechar estas soluciones validadas, los comerciantes pueden reducir el alcance de sus evaluaciones PCI DSS.
P2PE es un caso especial de cifrado a nivel de aplicación, en el que el cifrado se aplica de forma selectiva dentro de una aplicación comercial, en este caso una terminal de punto de venta (POS) minorista. Si el proceso de cifrado punto a punto se implementa correctamente con los datos de la cuenta cifrados dentro de un dispositivo criptográfico seguro (SCD) aprobado, como una terminal POS, y no son descifrados en absoluto dentro del entorno del comerciante, existe la posibilidad de que el comerciante quede casi completamente fuera del alcance del PCI DSS.
Deben existir controles estrictos para la protección y el acceso a las claves de descifrado. De hecho, la guía actual requiere el uso de módulos de seguridad de hardware (HSM) con una clasificación de seguridad adecuada para proteger el acceso a esas claves. Los compradores y otros actores en la cadena de pagos ya han comenzado a comercializar servicios de valor agregado que usan P2PE para reducir los costos de cumplimiento para sus comerciantes. Desde la perspectiva del PCI DSS, cualquier sistema que tenga la capacidad de descifrar los datos de la cuenta entra en el alcance de inmediato, por lo que la capacidad de aislar a los comerciantes protegiendo las claves dentro de los HSM puede tener beneficios significativos para todos los involucrados.
- Desafíos
- Soluciones
- Ventajas
Cifrado punto a punto: el desafío de hoy
- Las organizaciones que no protegen los datos de las cuentas con cifrado punto a punto pueden no cumplir con los mandatos del PCI DSS, arriesgándose a multas y daños al negocio.
- Los atacantes pueden robar datos de cuentas de clientes de muchos lugares dentro de una organización típica, ya que pueden ingresar intencional o involuntariamente a través de numerosos canales (sitios web, centros de llamadas y servicios de asistencia, sistemas de correo electrónico, etc.) y pueden propagarse rápida y ampliamente por toda la organización, impulsando aumentar los costos de las contramedidas y los informes de cumplimiento.
- El cifrado puede reducir los riesgos, pero las organizaciones deben tomar medidas para administrar las claves de manera adecuada. Las claves que existen en sistemas puramente basados en software son vulnerables a los ataques y, a menudo, no cumplen con las obligaciones en materia de cumplimiento.
- Si bien el PCI DSS no ha exigido el uso de cifrado punto a punto (P2PE), las organizaciones que no aprovechan este enfoque de cifrado punto a punto para reducir el alcance de PCI DSS puede incurrir en costos de cumplimiento innecesarios.
Cifrado de punto a punto: Soluciones de Thales
Thales no solo puede ayudarlo a cumplir con el PCI DSS de manera efectiva y eficiente, sino que también puede ayudar a reducir el alcance del PCI DSS y, por lo tanto, el costo del cumplimiento, a través del cifrado punto a punto (P2PE). Los HSM payShield están certificados de forma independiente según el estándar FIPS 140-2 de nivel 3 exigido por las directrices P2PE. Los HSM de payShield crean un entorno confiable en el que el material clave se puede generar, almacenar y administrar de forma segura, y donde las operaciones de descifrado se pueden realizar de forma segura. El uso de HSM de esta manera es directamente análogo a la forma en que se utilizan los HSM para proteger los PIN de los usuarios cuando pasan a través de la red de pagos. En ambos casos, los HSM superan las debilidades inherentes de los sistemas puramente basados en software que podrían exponer las claves y procesos criptográficos a ataques de escaneo de memoria, monitoreo en tiempo de ejecución o usuarios privilegiados malintencionados.
Ya sea que elija cifrar y descifrar los datos de la cuenta utilizando la plataforma de seguridad de datos Thales CipherTrust, su propio software desarrollado internamente o aplicaciones comerciales de terceros, los HSM de payShield son fáciles de implementar y pueden soportar tecnologías innovadoras, como Format Preserving Encryption (FPE), para minimizar el impacto en los procesos comerciales existentes. Estos dispositivos ya están certificados para integrarse directamente con productos de nuestros socios de la industria y fabricantes líderes de POS, lo que le garantiza implementaciones rápidas y una integración perfecta con sus sistemas existentes.
Al utilizar los HSM de Thales, usted puede hacer lo siguiente:
- Implementar el cifrado punto a punto (P2PE) compatible con el PCI DSS para proteger los datos de la cuenta y reducir los costos de cumplimiento.
- Acelerar los proyectos de implementación: los HSM de payShield están precalificados para integrarse con los productos de la plataforma de seguridad de datos CipherTrust de los principales proveedores de cifrado.
- Aprovechar una variedad de niveles de rendimiento y factores de forma: implemente exactamente lo que necesita y solo lo que necesita, y actualice fácilmente a medida que cambien sus necesidades.
- Aprovechar el FPE de vanguardia para minimizar el impacto en los sistemas existentes que ahora están expuestos a datos de cuentas cifrados en lugar de texto sin formato.