Cualquier empresa que procese pagos con tarjeta en línea y esté dispuesta a mantener la seguridad del cliente debería haber entrado en el programa de verificación de tarjetas antifraude 3D Secure de Visa y MasterCard. El servicio 3D Secure es proporcionado por Visa y MasterCard bajo el nombre Verified by Visa y MasterCard SecureCode, respectivamente. Pero a medida que la tecnología evoluciona, las marcas de pago están lanzando 3D Secure 2.0 (3DS 2.0).

 Este nuevo protocolo está diseñado para ser más rápido y seguro, protegiendo a todas las entidades involucradas en una transacción en línea. Quizás la mejora más importante es para el cliente que paga. Mediante el uso de información contextual sobre la transacción, 3D Secure 2.0 está diseñado para superar la mayor queja sobre la v1.0: tener que introducir una contraseña para verificar la transacción. EMVCo, el organismo de estándares de pago responsable de la administración de 3DS, afirma que el tiempo de pago se reduce en un 85% utilizando el nuevo protocolo.

 Sin embargo, la versión 2.0 es más que una actualización cosmética; las organizaciones involucradas en el manejo de pagos con tarjeta en línea necesitarán volver a verificar su conformidad con 3DS.

¿Quién necesita ser validado en la versión 2.0?

Hay tres entidades clave que necesitarán ser validadas por 3D Secure 2.0:

  1. Proveedores de servidores de control de acceso (ACS)
  2. Proveedores de servidores de directorios (DS)
  3. Proveedores de 3DS Server (3DSS)

 En realidad, la mayoría de las entidades que entran en estas categorías ya tienen algún tipo de validación. Pero es extremadamente importante notar que hay diferencias claras entre los protocolos de 3DS y, en consecuencia, entre los requisitos de validación. El estándar Verified by Visa (VbV) definitivamente no es el mismo que el estándar PCI 3DS.

Casi todo ha cambiado

3DS_blogImageDe los 228 requisitos para el cumplimiento de Verified by Visa, 155 han sido retirados (68%) y 11 están parcialmente descontinuados (5%). Esto deja sólo una cuarta parte (27%) de las necesidades existentes.

En teoría, la conformidad con 3DS 2.0 debería ser mucho más fácil de lograr. Sólo hay 75 requisitos y menos de la mitad (44%) son nuevos. Sin embargo, el proceso real de evaluación y presentación de informes in situ puede ser más largo que con el VbV. Esto se debe al hecho de que el proceso de presentación de informes definido por el CSC del PCI requiere que se documenten muchos más detalles de la evaluación.

Es importante señalar que el proceso de pruebas de aceptación también ha cambiado un poco. Las pruebas de aceptación son ahora supervisadas por EMVCo, y las entidades necesitarán una carta de aprobación de este nuevo organismo antes de la evaluación del PCI 3DS. Y desde julio de 2018, los entornos 3DS 1.0 deben evaluarse con respecto a la especificación 2.0 para lograr la conformidad con PCI 3DS.

Problemas a los que se enfrentará buscando lograr la conformidad con PCI 3DS 2.0

Para cualquier organización que cumpla con la norma 1.0, el primer obstáculo es elegir un Evaluador de Seguridad Calificado (QSA) para probar los sistemas de manejo de pagos. Para asegurar que se mantengan altos estándares en todo momento, no se permite a los QSA revalidar la misma entidad por más de dos años consecutivos. Algunos QSA pueden recibir permiso explícito de Visa para anular este requisito. Esto se emite caso por caso, y su organización debe asumir que dicho permiso no será concedido.

Otras cuestiones son de naturaleza mucho más técnica. Los sistemas existentes pueden retener datos 3DS sensibles (como el valor de verificación 3DS de la tarjeta de pago) cuando no sean necesarios. Esto demostraría un fallo de cumplimiento instantáneo, por lo que será necesario actualizar los sistemas para evitar estos incidentes.

Otro problema común es la forma en que se almacenan los datos legítimos. Los datos sensibles definidos en la matriz PCI 3DS, como las plantillas HTML, se guardan sin el cifrado adecuado o no se eliminan de forma segura cuando ya no son necesarios.

También se espera que las entidades proporcionen un seguimiento y una supervisión adicionales en el marco del PCI 3DS 2.0. Las transacciones deben ser monitoreadas en busca de señales de actividad anómala para reducir los casos de fraude. Obviamente, el desarrollo y la implementación del análisis proactivo son costosos y requieren mucho tiempo, pero también son inevitables.

También hay retos físicos que deben ser abordados. Los requisitos de PCI DSS no contemplan garantías de seguridad física en el centro de datos, pero 3DS espera el uso de mecanismos como las trampas de un solo hombre para controlar el acceso a las salas de servidores, por ejemplo. Esto puede implicar actualizaciones de la infraestructura para lograr el cumplimiento.

Del mismo modo, los módulos de seguridad de hardware (HSM) no son nuevos, pero la forma en que se manejan las claves de cifrado ha cambiado. El acceso a los HSM debe gestionarse mediante un doble control para garantizar que ninguna de las partes tenga acceso a todas las claves de cifrado pertinentes.

Quizás el más difícil de todos es el estado actual de cumplimiento de las plataformas Cloud en las que confían muchas entidades. El Servicio de Administración de Claves (KMS) HSM utilizado por Amazon Web Services (AWS) se basa en FIPS 140-2 Nivel 2; por ejemplo, el cumplimiento de 3DS 2.0 exige soporte de Nivel 3. La utilidad de acceso remoto de HSM también está deficiente. Sin el cumplimiento de la norma ISO 13491, tampoco será aceptable para su uso en un sistema de pago PCI 3DS 2.0.

Los usuarios de AWS necesitarán presionar con fuerza a Amazon para exigir la actualización de la plataforma tecnológica requerida o planificar una migración a una plataforma alternativa. Sin pruebas de que la seguridad física y las medidas de protección de HSM están a la altura del estándar 3DS, la plataforma no es adecuada para las entidades que buscan construir una plataforma compatible.

¿No podemos mantener nuestros sistemas compatibles con 1.0?

Dado que lograr la conformidad con 3DS 2.0 requerirá una inversión adicional significativa, las entidades pueden verse tentadas a mantener sus sistemas compatibles con 1.0 existentes. Esta no es una opción realista.

En primer lugar, el hecho de que los sistemas basados en la versión 1.0 se evalúen ahora utilizando los criterios de la versión 2.0 significa que muchos sistemas no superarán las comprobaciones de seguridad, aunque cumplan las normas que eran pertinentes en el momento de la implementación. En segundo lugar, para proteger mejor a sus clientes, los comerciantes exigen que los proveedores de servicios aceleren la adopción de 3DS 2.0.

En última instancia, 3DS 2.0 ofrece beneficios; al hacer que las transacciones sean más potentes, flexibles y seguras, los proveedores pueden ofrecer a los clientes una mejor calidad de servicio. Y esto significa que ayudará a aumentar el valor medio de los pedidos y fomentará la repetición de clientes.

A pesar de que EMVCo gestiona la conformidad con 3DS 2.0, la organización es propiedad de las principales marcas de pago (Visa, American Express, Discover, JCB, MasterCard y UnionPay). Estas marcas establecen las reglas, y están presionando mucho a los emisores y adquirentes para que adopten la norma. En última instancia, es poco probable que se permita a cualquier empresa que no pueda demostrar el cumplimiento de la norma 2.0 procesar los pagos en un futuro próximo.

Para evitar estos problemas y garantizar el cumplimiento del PCI 3DS 2.0, las entidades deberán actuar lo antes posible. Para discutir sus opciones y cómo Advantio puede ayudarle a alcanzar los estándares de seguridad necesarios, por favor póngase en contacto con nosotros.

Oleg Aksyonenko

Written by Oleg Aksyonenko

I am a Managing Consultant at Advantio.

During my 18-year IT career, I have been lucky to work with the United Nations for over three years on a field mission as well as spend ten years focused on project management, information security, capacity planning, disaster recovery and businesses continuity.

In Advantio I apply my well-developed analytical, troubleshooting and problem-solving skills. I also can draw on my background in data processing, network and systems architecture as well as IT security.

My certifications include: CISA, PCI QSA, PA-QSA, QSA (P2PE), PA-QSA (P2PE), 3DS Assessor.