Validación de seguridad PIN de Visa - Conozca los cambios.

Todas las organizaciones involucradas en el manejo de los datos PIN de Visa, ya sea que se trate de procesamiento de PIN, traducción, aceptación y/o administración de claves, o la administración o seguridad de estos entornos, deben cumplir con el Programa de Seguridad PIN de Visa.

Dado que el ciclo de validación del Programa de Seguridad PIN de Visa es de 24 meses, queremos proporcionarle una actualización sobre los cambios recientes en el proceso de validación (marzo de 2019).

Generalidades:

• Visa simplifica y unifica la validación de la seguridad PIN en todas las regiones y proporciona una mayor transparencia en el estado de seguridad de los participantes en el programa de PIN. El actual Programa de Seguridad PIN cubre las siguientes regiones: Asia-Pacífico (AP), Canadá, Europa Central y Oriental, Medio Oriente y África (CEMEA), Europa, América Latina y el Caribe (LAC) y Estados Unidos (EE.UU.).
• Visa suspende el requisito de presentar cuestionarios de autoevaluación de seguridad con PIN (SAQ).
• Visa introduce un nuevo modelo de evaluador de seguridad PIN (SA) que permite a los miembros interactuar directamente con los evaluadores para realizar revisiones in situ.
• Visa crea una lista global de participantes en el programa PIN aprobados y en cumplimiento, que proporciona una plataforma para que los participantes en el programa promuevan sus servicios PIN seguros.

Nuevas categorías para los participantes del programa PIN

Visa introduce dos categorías principales de entidades que requieren validación contra el Programa de Seguridad PIN de Visa. Estos son los Participantes Validadores y los Participantes No Validadores.

Los Participantes Validadores se definen como:

• Procesador VisaNet (VNP) de terceros: entidad VNP de terceros que está conectada directamente a VisaNet y proporciona servicios de procesamiento de PIN a los clientes de Visa.
• Cliente de adquisición de PIN VNP que actúa como proveedor de servicios: entidad propiedad de un cliente de Visa o de un cliente que está directamente conectada a VisaNet y proporciona servicios de procesamiento de adquisición de PIN a los clientes de Visa.
• Servicios de Terceros de Adquisición de PIN (TPS) - Un agente de terceros que almacena, procesa o transmite números de cuenta y PINs de Visa en nombre de los clientes de Visa.
• Organizaciones de Cifrado y Soporte (ESO) - Organizaciones que:
• Realizar servicios de gestión de claves criptográficas (es decir, instalaciones de inyección de claves (KIF), inyección de claves remotas (RKD) en nombre de los clientes de Visa.
• Servicio y/o implementación de dispositivos de entrada de PIN (PED) para cajeros automáticos, puntos de venta o quioscos del cliente que procesan y aceptan PINs del titular de la tarjeta.
• Fabricantes de Dispositivos PED y Autoridades de Certificación de terceros que gestionan diversas responsabilidades de gestión de claves criptográficas para los clientes.

Todas estas entidades deben realizar una evaluación de seguridad del PIN in situ una vez cada 24 meses.

Los participantes no validadores son clientes de Visa, comerciantes y otras organizaciones que adquieren transacciones con PIN y/o realizan servicios de administración clave sólo para su propio negocio de adquisición.

Si bien los participantes no validadores deben cumplir plenamente con los requisitos de seguridad del Programa de seguridad del PIN de Visa, los requisitos de validación son diferentes a los de los participantes validadores. Su proceso de validación incluye la realización de autoevaluaciones utilizando un recurso interno o externo.

A diferencia de antes de 2018, los resultados de la autoevaluación (Cuestionario de Autoevaluación PIN) no necesitan ser presentados a Visa, sino que deben ser retenidos como evidencia de cumplimiento. Visa se reserva el derecho de solicitar pruebas del cumplimiento de PIN en cualquier momento, o solicitar una revisión de seguridad del PIN in situ de cualquier organización, en cualquier momento, para garantizar la seguridad del sistema de pago.

Introducido el nuevo modelo PIN SA

A partir de julio de 2018, los participantes en la validación del PIN pueden contratar y comprometerse directamente con las SA aprobadas por Visa para la revisión del PIN in situ. De este modo, se agiliza considerablemente el proceso.

Asesores de Seguridad de PIN SA a PCI PIN

Justo después de la introducción del nuevo modelo PIN SA en julio de 2018, Visa y otras marcas de pago consolidaron sus esfuerzos en la Validación de Seguridad PIN e iniciaron la transición de todo el proceso a PCI SSC.

Si usted revisa la lista actual de Evaluadores de Seguridad Aprobados por Visa, verá el siguiente aviso:

Nota: Visa se encuentra actualmente en un período de congelación y no acepta solicitudes para nuevos evaluadores de seguridad en ninguna región, a la espera de la transición de los evaluadores al PCI SSC en 2019. Las organizaciones que requieran una evaluación in situ deben continuar haciendo referencia a los recursos de esta lista hasta nuevo aviso. Póngase en contacto con el representante regional de riesgos de visado para obtener información adicional.

El nuevo programa de validación se anunció el año pasado.  Y el 20 de febrero de 2019, PCI SSC abrió el Programa de Evaluadores de PIN Calificados para aceptar nuevas solicitudes. Vale la pena mencionar que no sólo las empresas QSA existentes pueden calificar. Sin embargo, los requisitos de cualificación son muy exigentes.

El primer entrenamiento y examen para los asesores de seguridad PCI PIN está previsto para el 10 y 11 de junio de 2019. Podemos esperar que las primeras validaciones contra el nuevo programa comiencen en junio.

Mientras escribía este artículo, Visa circuló otra información importante: a partir del 1 de octubre de 2019, se exigirá a los participantes de la validación del PIN que utilicen un PCI QPA para las evaluaciones in situ. Las evaluaciones de PIN que ya están programadas y se realizarán después del 1 de octubre de 2019, pueden continuar utilizando un Evaluador de PIN aprobado por Visa que no sea un PCI QPA. En estos casos, se requiere la aprobación de Visa antes de que se lleve a cabo la evaluación. En la misma fecha, todas las compañías que no sean Asesores de Seguridad PCI PIN serán eliminadas de la lista de evaluadores aprobados.

Cambios en los requisitos de seguridad del PIN 3.0

La última versión de los Requisitos de Seguridad PIN 3.0 se publicó en agosto de 2018.

Aunque en la mayoría de los casos los cambios aclaran los requisitos existentes, la nueva versión también define varias fechas de expiración importantes:  

• para la descontinuación del soporte de claves TDES fijas,
• para la obligación de admitir el formato ISO PIN block 4,
• para el uso de PCs para manejar claves o componentes clave.

Recientemente, Visa notificó a todos los participantes en la validación que, a partir del 1 de enero de 2020, todas las evaluaciones del PIN deben realizarse utilizando el PIN PCI v3 y los materiales de información PCI asociados. A partir de esta fecha, las evaluaciones PCI PIN v2 ya no serán aceptadas.

Nuevos requisitos de información - Nuevos retos

Como parte del nuevo proceso de validación del PCI SSC, en enero de 2019 se publicó la nueva plantilla de Requisítos de Seguridad PCI PIN 3.0 RoC.

A diferencia de los antiguos informes de validación que eran muy breves, la nueva plantilla de informes define nuevos horizontes para informar sobre los resultados de la evaluación. Es muy detallado, específico y contiene mucha información sobre la entidad evaluada. Por un lado, es un cambio positivo. Una plantilla de informe detallada refuerza la precisión y la minuciosidad de los procesos de evaluación, recopilación de pruebas y análisis. Por otro lado, la documentación detallada de todos los subrequisitos y la redacción del informe de 250 páginas requerirá tiempo adicional tanto en el sitio como en la oficina. Creemos que los uno o dos días in situ que Visa menciona en la Guía del Programa no son suficientes para validarlos contra todos los requisitos aplicables y reunir pruebas de soporte. Teniendo experiencia en la realización de varias evaluaciones P2PE (donde el mismo informe detallado se utiliza durante años), estimamos que el tiempo que un evaluador necesita para validar el nuevo Programa de Seguridad PIN será mucho más largo que antes de 2018.

¿Está en la lista?

En 2018, Visa presentó la nueva lista mundial de participantes en el programa PIN aprobados y en cumplimiento. Asegúrese de que aparezca en la lista en el color azul. Una presentación tardía de la renovación por 1-60 días significa que su empresa aparecerá en la lista en ámbar. Esto informa a los clientes potenciales de que algo puede estar mal en la validación de su conformidad. Si el envío de la renovación de su listado se retrasa 61-90 días, entonces su compañía aparecerá en rojo y puede ser eliminada de la lista en un momento posterior.

¿Necesita más información?

Nuestro equipo de expertos está disponible para responder a sus preguntas sobre el Programa de seguridad del PIN de Visa.

Lecturas adicionales

Guía del Programa Visa PIN de seguridad: https://usa.visa.com/dam/VCOM/download/security/documents/visa-pin-security-program-guide-public.pdf

Los cambios en el programa de seguridad PIN en Europa: https://usa.visa.com/dam/VCOM/global/partner-with-us/documents/announcement-ve-pin-progam-changes-public-version.pdf

Lista de Evaluadores de Seguridad Aprobados por Visa (SA): https://usa.visa.com/dam/VCOM/download/security/documents/sa-global-list.pdf

El Registro Global de Proveedores de Servicios de Visa: https://www.visa.com/splisting

Requisitos de seguridad del PIN - Resumen de cambios significativos de la versión 2.0 a la 3.0: https://www.pcisecuritystandards.org/documents/PCI_PIN_Security_Rqrmts_Modifications_v3_Summary_of_Changes_Aug2018.pdf?agreement=true&time=1551107880220