Adecuación y Certificación PCI CPP

PCI Card Production and Provisioning (PCI CPP) es un marco de seguridad compuesto por la pareja de estándares Physical Security Requirements (PSR) y Logical Security Requirements (LSR) que definen el conjunto de requerimientos para gestionar la seguridad, definir políticas y normativas de seguridad, arquitectura de red, diseño de software y todo tipo de medidas de protección que intervienen en la fabricación y personalización de tarjetas de pago y todos los procesos relacionados.
 

Su finalidad es la reducción del fraude relacionado con los procesos de fabricación y personalización de las tarjetas de pago e incrementar la seguridad de estos procesos.

PCI CPP es fruto del esfuerzo del PCI Security Standards Council (PCI SSC) para forzar y facilitar a cualquier organización que participe en la fabricación y/o personalización de tarjetas de pago y los procesos asociados mediante la protección de las infraestructuras que fabrican y/o personalizan tarjetas de pago.

PCI Card Production and Provisioning – Physical Security Requirements

Reúne los requerimientos para las entidades que participan en la producción y el suministro de tarjetas, que puede incluir: fabricantes, personalizadores, pre-personalizadores, incrustadores de chips, preparación de datos y cumplimiento.

Los requisitos y procedimientos de seguridad física se deben seguir antes, durante y después de los siguientes procesos:

 Fabricación de tarjetas  Incrustación de chips  Personalización  Almacenamiento

Fabricación de tarjetas

Incrustación del chip

Personalización

Almacenamiento

 Embalaje  Envío de Correo electrónico a  Envío o Entrega  Cumplimiento

Embalaje

Envío de correo electrónico a

Envío o entrega

Cumplimiento

Además de las actividades de producción de tarjetas que figuran en este estándar, se definen los requerimientos de seguridad física para las entidades que:

  • Realizan servicios de aprovisionamiento basados en la nube o en elementos seguros (SE);
  • Gestionen la personalización, la gestión del ciclo de vida y la preparación de los datos de personalización; o
  • Gestionar las claves criptográficas asociadas.

No se aplica a los proveedores que sólo realizan la distribución de elementos seguros.

PCI Card Production and Provisioning – Logical Security Requirements

Contiene los requerimientos para los sistemas y procesos comerciales relacionados con las actividades de seguridad lógica asociadas a la producción de tarjetas y aprovisionamiento como la preparación de datos, la pre-personalización, la personalización de tarjetas, la generación del PIN, los sobres para el PIN, y los distribuidores de tarjetas deben cumplir con los requisitos de este estándar.

En el estándar se describen los requisitos de seguridad lógica exigidos a las entidades que:

  • Realizan servicios de aprovisionamiento basados en la nube o en elementos seguros (SE);
  • Gestionen la personalización por aire (OTA), la gestión del ciclo de vida y la preparación de datos de personalización; o
  • Gestionar las claves criptográficas asociadas.

No se aplica a los proveedores que sólo realizan la distribución de elementos seguros.

Las fases del proyecto serán las siguientes:

Fases del proyecto

Análisis del Entorno de Cumplimiento y Gap

El objetivo de esta etapa es la de comprender el proceso objeto del alcance, en relación con la fabricación y/o personalización de tarjetas de pago y sus procesos relacionados y definir el entorno que debe ser protegido.

Esta etapa requiere recopilar información procedente del personal en contacto con el medio a evaluar, que sea consciente de las políticas, procesos y procedimientos actuales que gobiernan toda la organización y la observación de los sitios y procesos usados para la producción y/ personalización de tarjetas.

La información final obtenida en esta etapa es fundamental y describe el entorno real que debe cumplir PCI CPP, y un inventario inicial de componentes en alcance.

Esta etapa también permitirá la identificación de las relaciones con terceras partes (proveedores de servicios) y cómo influyen en el cumplimiento de PCI CPP.

Elaboración del Informe de Plan de Acción

Desde Internet Security Auditors redactaremos el Plan de Acción más adecuado a la situación de cada organización para completa adecuación al estándar.

Este informe final contendrá los siguientes puntos principales:

  • Resumen ejecutivo
  • Metodología
  • Definición del Entorno de Cumplimiento
    • Diagramas de red y flujos de datos de tarjetas a alto nivel
    • Procesos
    • Componentes de Sistemas
  • Estado actual de cumplimiento
  • Plan de Acción

Uno de los principales objetivos de este punto es la identificación de aquellas medidas a abordar para la reducción del entorno de cumplimiento, ya que de esta manera se logrará también reducir el alcance de cumplimiento de PCI CPP dentro de la organización, que es el objetivo inicial que marca la norma.

La experiencia de Internet Security Auditors en este tipo de proyectos, los cuales hemos ejecutado en una gran variedad de organizaciones de múltiples sectores, nos hace considerar esto como un factor que nos diferencia.

Auditoría de Certificación del Cumplimiento de PCI CPP

Internet Security Auditors está acreditada por el PCI SSC, a través de su certificado Card Production Security Assessor (CPSA) para realizar las auditorías anuales on-site bienal requeridas.

En el proceso de auditoría se verifica, mediante revisiones técnicas y procedimentales, que los requerimientos establecidos en PCI CPP se están cumpliendo. Y para todos aquellos puntos que no se cumplen se define el plan de acción para solventar las no conformidades.