Evaluaciones de Seguridad PCI PTS

¿Qué es el PCI SSC (Payment Card Industry Security Standard Council)?

El PCI Security Standards Council es una organización global que mantiene, desarrolla y promociona los estándares de la industria del pago, para garantizar la seguridad los datos de los usuarios de tarjetas a nivel global. Esta organización fue fundada en 2006 por American Express, Discover, JCB International, Mastercard y Visa Inc., que son propietarias y participan en el consejo en plan de igualdad. UnionPay se unió al PCI SSC como miembro estratégico en 2020.
   

¿Qué es el estándar PCI PTS? 

PTS (PIN Transaction Security) es un conjunto de evaluaciones de seguridad lógicas y físicas establecidas por PCI SSC para proteger los datos de los usuarios de tarjetas en el terminal (POI) y en HSM (hardware security module).  

PCI dispone de un proceso de aprobación por producto donde se describen de forma precisa los diseños, arquitecturas e implementaciones utilizadas hoy en día y en constante evolución.  

POI Approval Class 

• EPP Encrypted pin pad 
• Non PIN entry device (Non-PED)
• PIN entry device (PED)
• Secure Card Reader (SCR)
• Secure Card Reader PIN (SCRP)
• Unattended payment terminal (UPT )

HSM Approval Class

• Hardware security module (HSM)
• Key-Loading Device (KLD)
• Remote Administration Platform (RAD)

¿Por qué es importante obtener la certificación PCI PTS? 

El mercado de los sistemas de pago necesita empresas fiables, ya que la confianza es el parámetro más importante para esta industria. Todas las empresas del sector deben ser capaces de mantener esta confianza a través de sistemas seguros. La certificación PCI PTS es la herramienta a través de la cual las empresas que operan en el sector pueden demostrar esta fiabilidad.  Esta certificación aplica tanto a los HSM cuya misión es securizar la gestión de datos, como a los terminales de pago, responsables proteger los datos de las cuentas de pago. 

El desarrollo de nuevos métodos de pago ha ido acompañado de un creciente número de ciberataques cuy objetivo son las empresas con terminales desatendidos. Un terminal de tarjetas no certificado puede mostrar los datos no encriptados, lo que puede llevar a una brecha de seguridad y erosionar seriamente la confianza de cliente en la empresa que utiliza el terminal. Por este motivo PCI solicita a todos los actores implicados que escojan solo dispositivos certificados PCI PTS en sus empresas, ya que estos productos transmiten y validan la información del usuario de la tarjeta de forma confidencial.  

En resumen, todos los actores del ecosistema de pago deben certificar sus HSM y terminales antes de ponerlos en el mercado si quieran trabajar con los principales esquemas de pago. 

¿Cómo ayuda Applus+ Laboratories a prevenir el fraude en las transacciones de pago?

Applus+ es un laboratorio acreditado por PCI SSC para validar la conformidad de terminales y HSM con el estándar PTS. A través de nuestros servicios, apoyamos a nuestros clientes a securizar los pagos, desde la evaluación preliminar, hasta orientación sobre los requisitos y la evaluación formal. 
PCI SSC requiere que los POI pasen una certificación funcional EMVCo antes de la evaluación PCI. Nuestros clientes pueden realizar ambas evaluaciones en nuestros laboratorios. 

Para los dispositivos destinados a los mercados de Alemania y Reino Unido, Common Criteria es un requisito obligatorio requerido por Common.SECC. Applus+ Laboratories puede ser un one-stop-shop para obtener realizar todas las evaluaciones necesarias (PCI, Common.SECC y EMVCo) y acelerar así el proceso de certificación del terminal.