La Payment Card Industry Data Security Standard (PCI DSS) define un conjunto de normas de seguridad para garantizar que las empresas que aceptan, procesan, almacenan o transmiten información de tarjetas de crédito/débito mantienen un entorno seguro y protegen al titular de la tarjeta contra el uso indebido de su información personal.
Una de las formas más eficaces de cumplir la norma PCI DSS es utilizar HSM.
Visión general
Norma de seguridad de datos de la PCI (PCI DSS)
La PCI DSS es una norma general que se aplica a todas las entidades que almacenan, procesan y/o transmiten datos de titulares de tarjetas. Abarca los componentes técnicos y operativos que están incluidos o conectados a los sistemas que tocan los datos de los titulares de tarjetas. Si acepta o procesa tarjetas de pago de cualquier forma, debe seguir las normas definidas en la PCI DSS.
Requisitos de seguridad de las transacciones con PIN (PTS)
El PCI PTS es un conjunto de requisitos de seguridad que se aplica a los fabricantes de dispositivos utilizados para las transacciones financieras con tarjetas de pago. Los requisitos son los que deben seguir los fabricantes en el diseño, fabricación y transporte de un dispositivo a la entidad que lo implanta. Las instituciones financieras, procesadores, comerciantes y proveedores de servicios sólo deben utilizar dispositivos o componentes que hayan sido probados y aprobados por el PCI SSC.
Norma de seguridad de datos para aplicaciones de pago (PA-DSS)
La PA-DSS está destinada a proveedores de software y otros que desarrollen aplicaciones de pago que almacenen, procesen o transmitan datos de titulares de tarjetas y/o datos confidenciales de autenticación. La mayoría de las marcas de tarjetas animan a los comerciantes a utilizar aplicaciones de pago probadas y aprobadas por el PCI SSC.
Módulo de seguridad de hardware (HSM) y PCI
Todos los proveedores de HSM de pago deben cumplir las normas definidas en PCI PTS HSM para poder diseñar un módulo de seguridad de hardware conforme y seguro y procesar transacciones de pago. Un HSM con certificación PCI PTS es la clave para que sus usuarios puedan cumplir la normativa PCI DSS.
Las normas PCI PTS HSM se clasifican en dos secciones: seguridad física y lógica. Algunos de los requisitos que definen la seguridad física del HSM se derivan de los requisitos de la norma federal de procesamiento de información 140-2 (FIPS 140-2). La certificación garantiza un mecanismo activo de respuesta ante manipulaciones para poner a cero las claves secretas y privadas durante un ataque de penetración y de canal lateral.
La norma PCI HSM cubre el ciclo de vida del HSM hasta el momento de su primera entrega a la instalación del punto de despliegue inicial. Las etapas posteriores del ciclo de vida del HSM siguen siendo de interés para la PCI y están controladas por otras normas de la PCI.
Los requisitos de seguridad del HSM de la PCI se derivan de las normas ISO, ANSI y NIST existentes, así como de las buenas prácticas aceptadas/conocidas por el sector de los pagos financieros. Los requisitos se clasifican en cuatro ámbitos de evaluación diferentes:
- Módulo de evaluación1: este módulo define los requisitos básicos de seguridad, incluida la seguridad física y lógica del HSM, junto con las políticas y procedimientos que deben seguirse.
- Módulo de evaluación 2: este módulo define los procedimientos de carga de claves y los dispositivos utilizados para cargar claves en el HSM.
- Módulo de evaluación 3: este módulo trata el aspecto de la administración remota del HSM.
- Módulo de evaluación 4 - Este módulo cubre los requisitos de seguridad del dispositivo durante la fabricación y entre el fabricante y el punto de despliegue inicial.
Los HSM de Utimaco y el cumplimiento de PCI
Los HSMs de Utimaco están diseñados sobre los principios básicos definidos por el Consejo PCI, ISO, NIST y ANSI. Esto incluye nuestro Atalla AT1000 y PaymentServer.
