Cómo certificar tu aplicación móvil para pagos seguros con SBMP de EMVCo

Por qué es importante la certificación SBMP

La certificación SBMP de EMVCo demuestra que tu aplicación es resistente a la piratería, la manipulación y las violaciones de datos, algo fundamental para las soluciones de pago móvil. La certificación suele ser obligatoria o muy recomendable para las aplicaciones que manejan datos de pago sensibles, y permite la colaboración con los principales sistemas de pago como Visa y Mastercard.

El proceso de evaluación SBMP: Pasos clave

La evaluación SBMP debe ser realizada por un laboratorio acreditado por EMVCo. Los laboratorios acreditados, como Applus+, guían a los clientes desde el registro del producto hasta el informe final de evaluación.

La evaluación sigue un riguroso proceso de varias fases:

• Recopilación de información del TOE (Target of Evaluation)
  • Qué sucede: Los desarrolladores envían binarios, código fuente, documentos de diseño y directrices de seguridad.
  • Qué se comprueba: Los evaluadores verifican la coherencia de la versión, las certificaciones de los componentes y la seguridad de los SDK o bibliotecas de terceros.
  • Consejo: Asegúrate de que todos los componentes de terceros estén actualizados y sean seguros.

• Revisión del diseño y del código fuente (SCR)
  • Análisis paso a paso: Identifica los activos críticos (por ejemplo, claves de cifrado, datos de pago), mapea las variables/funciones del código que gestionan esos activos y revisa la seguridad del ciclo de vida (generación, almacenamiento, eliminación).
  • Objetivo: Señalar fallos de seguridad como un cifrado débil o un almacenamiento inseguro.

• Análisis de vulnerabilidades (VA)
  • Vulnerabilidades públicas: Comprueba si existen exploits conocidos en las bibliotecas (por ejemplo, OpenSSL).
  • Riesgos derivados del código: Revisa las debilidades identificadas durante la revisión del código fuente.
  • Plan de ensayos: Propón ataques para probar los mecanismos de seguridad (por ejemplo, ingeniería inversa, "code hooking").

• Ensayo (Ensayo de penetración/Ensayo de verificación)
  • Ensayo de penetración (PT): Simula ataques del mundo real (por ejemplo, manipulación, omisión del depurador).
  • Ensayo de verificación (VT): Confirma que los mecanismos de seguridad funcionan correctamente (por ejemplo, detección de "root/jailbreak").
  • Herramientas utilizadas: Herramientas estándar del sector como Frida, IDA y scripts personalizados.

• Elaboración de informes y entrega a EMVCo
  • Recopila los resultados: Crea un Informe Técnico de Evaluación (ETR).
  • Aborda las vulnerabilidades: Trabaja con los desarrolladores para solucionar los problemas (proceso iterativo).
  • Finaliza y entrega: Envía el ETR final a EMVCo para su certificación.

Preguntas frecuentes: Lo que los desarrolladores deben saber

¿Cuánto dura la evaluación SBMP?

Normalmente de 4 a 12 semanas, dependiendo de la complejidad del producto, la documentación y las necesidades de corrección.

¿Qué pasa si mi aplicación no supera un ensayo?

Los desarrolladores reciben comentarios detallados y pueden pausar la evaluación para implementar correcciones. Después de los cambios, el laboratorio vuelve a evaluar y repite el ensayo.

¿Se evalúan las bibliotecas de terceros?

Solo se comprueban las vulnerabilidades públicas en las bibliotecas de terceros. Se tiene en cuenta su impacto en el producto final, pero su código no se revisa directamente a menos que sea una herramienta COTS (commercial off-the-shelf), que puede omitir la SCR completa.

¿Cuál es la diferencia entre PT y VT?

PT: Explota activamente las vulnerabilidades. VT: Valida las defensas de seguridad (por ejemplo, antimanipulación).

¿Tengo que proporcionar dispositivos físicos?

No. Los laboratorios realizan los ensayos en sus propios dispositivos. Solo se necesitan los binarios, el código fuente y la documentación.

¿Con qué frecuencia debo recertificarme?

Anualmente o después de actualizaciones importantes que introduzcan nuevas funciones de seguridad.

¿Tengo que proporcionar el código fuente?

Sí. La metodología SBMP requiere una evaluación de "caja blanca", por lo que el acceso al código fuente es obligatorio durante el proceso.

¿Qué versión de la aplicación de ensayo debo proporcionar?

Utiliza la versión más segura disponible, idealmente una compilación de producción. Las compilaciones de desarrollador o de depuración pueden no ser suficientes.

Consejos profesionales y errores a evitar

• Qué hacer
  • Documenta a fondo: Proporciona directrices de seguridad claras y diagramas de arquitectura.
  • Realiza ensayos internos primero: Utiliza herramientas como MobSF u OWASP ZAP para detectar fallos básicos.
  • Supervisa después del lanzamiento: El SBMP requiere un análisis continuo de las amenazas.
• Qué evitar
  • Suponer que “ofuscación = seguridad”: Herramientas como ProGuard no son suficientes; el SBMP comprueba las protecciones antidepuración y en tiempo de ejecución.
  • Ignorar fallos menores: Las pequeñas vulnerabilidades pueden dar lugar a cadenas de exploits.
  • Usar SDK no certificados: Asegúrate de que todas las dependencias cumplen con el SBMP para evitar retrasos.

¿Por qué certificar tu aplicación?

• Genera confianza en el usuario y credibilidad de la marca.
• Permite la colaboración con los principales sistemas de pago (Visa, Mastercard, etc.).
• Simplifica el proceso de evaluación y certificación para los clientes.

Contacta con nosotros hoy y empieza tu viaje

Como laboratorio acreditado con amplia experiencia en evaluaciones de seguridad, te guiamos en cada paso del proceso de certificación SBMP. Nuestros expertos garantizan servicios de alta calidad, ayudándote a conseguir y mantener el cumplimiento de las normas del sector.