Legislación

MasterCard replantea las políticas de seguridad de los puntos de venta remotos

Los comerciantes pueden utilizar servicios RKI si son compatibles con PCI, según explica la compañía de pagos con tarjeta a raíz de un boletín sobre protocolos de seguridad para TPV.

MasterCard ha aclarado un boletín emitido el pasado 15 de junio sobre el uso de servicios RKI (remote key injection) para actualizar los protocolos de encriptación de los terminales punto de venta, diciendo que no es un mandato, pues parece ser que algunos lo habían interpretado como una señal de que estaba anulando el uso de este tipo de servicios como medio para hacer la actualización de seguridad.

La emisora de tarjetas de pago ha dicho a través de un comunicado que ese boletín sólo pretendía proporcionar una guía en la que decía que la opción más segura para actualizar los TPV era hacerlo en un centro externo. Sin embargo, ha dicho que los comerciantes pueden utilizar “servicios de inyección de clave remota para actualizar sus terminales si esos servicios cumplen todos los aspectos de los PCI Pin Security Requirements”.

Los consejos de MasterCard sobre RKI llegan en un momento en el que los comerciantes se encuentran en la fecha límite para actualizar sus terminales punto de venta a los estándares TDES (Triple Data Encryption Algorithm). Muchos han planeado utilizar servicios RKI para actualizar sus sistemas en red de forma automática en lugar de tener que desconectar cada dispositivo y enviarlo fuera para que lo actualicen.

La aclaración de MasterCard parece contradecir sus palabras iniciales emitidas en el susodicho boletín, que aparentemente prohibía específicamente el uso de dispositivos para la entrada de PIN (PED – PIN Entry Device) no compatibles con PCI de servicios RKI, tal y como evalúa Stuart Taylor, vicepresidente de soluciones globales y marketing de Hypercom, suministrador de productos para pago electrónico.

El reciente comunicado hace referencia la necesidad de que los “servicios” RKI sean compatibles con los estándares PCI, si bien no mencionan la obligatoriedad de que los dispositivos lo sean. En definitiva, las empresas no pueden utilizar servicios de inyección de clave remota salvo que sus dispositivos sean PCI PED (Payment Card Industry Pin Entry Device).

Los primeros productos certificados como PCI PED aparecieron a finales de 2007, por lo que existe un desconocido número de dispositivos instalados que probablemente sean incompatibles con PCI y no les esté permitido el uso de RKI a pesar de que muchos de dichos terminales sean capaces de aceptar de forma segura claves introducidas en remoto, añade Taylor.

La norma entró en vigor a mediados de 2007 y requiere que todos los comerciantes garanticen que sus dispositivos para la entrada de PIN en los terminales punto de venta cumplan con un mínimo de estándares de seguridad.

Opciones

La norma de MasterCard deja a los comerciantes que utilizan dispositivos no compatibles con PCI PED ante varias posibilidades, según el portavoz de Hypercom. La primera: hacer la actualización a TDES de la forma tradicional en una Organización de Servicios de Encriptación externa. Aquellos que quieran utilizar servicios RKI también podrían tomar en consideración solicitar a MasterCard una dispensa si sus dispositivos para la entrada de datos están equipados para soportar RKI y pueden hacerlo de una manera segura. La tercera opción para aquellos que quieran hacer RKI es cambiar sus terminales por otros compatibles con PCI.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper