Atualizar a infraestrutura, migrar o legado e aplicar testes aderentes ao PCI
O PIN Security Requirements sugere a tecnologia de “blocos de chaves” para a proteção das chaves criptográficas usadas para processar senhas.
À medida que as fraudes se tornam cada vez mais sofisticadas, a proteção às informações precisa evoluir, introduzindo cada vez mais recursos, com o objetivo de tornar a segurança robusta e eficaz.
A proteção às credenciais, senhas e outros métodos de autenticação está no centro das atenções porque a captura de credenciais e senhas tem sido um dos maiores desafios à proteção nos últimos tempos, representando algo em torno de 35% do total de fraudes identificadas, segundo boletim anual da IBM.
No segmento de pagamentos, o PCI tem evoluído constantemente seus procedimentos.
PIN Security Requirements e blocos de chaves
Em dezembro de 2014 foi publicado o documento “PIN Security Requirements v 2.0, para aumentar a segurança no uso de chaves criptográficas. A implementação de blocos de chaves – também denominados de “agrupamento de chaves” – visou melhorar a segurança das chaves simétricas que são compartilhadas entre os participantes do pagamento para proteger PINs e outros dados confidenciais.
Plano de implantação
A previsão era a implantação a partir de janeiro de 2018, mas em abril de 2017, a implementação foi segmentada em fases, para permitir uma evolução gradativa e controlada.
O plano de implantação foi dividido em 3 fases:
Fase I – com vigência prevista para junho de 2019 – O objetivo era implementar blocos de chaves para conexões internas e armazenamento de chaves em ambientes de provedores de serviços. Isso inclui todos os aplicativos e bancos de dados conectados a módulos de segurança de hardware (HSM).
Fase II – Com vigência prevista para junho de 2021 – O objetivo é implementar blocos de chave para conexões externas a associações e redes.
Fase III – Com vigência a partir de junho de 2023 – Implementar blocos de chaves para se estender a todos os hosts de comerciantes, dispositivos de ponto de venda (POS) e caixas eletrônicos.
O uso de blocos de chaves criptográficas para a troca segura de chaves é um meio de usar um ou mais blocos para vincular partes da chave com informações sobre a chave resultante. Os blocos de chaves criptográficas podem ser usados para proteger as chaves TDEA e AES.
Em janeiro de 2019, o PCI publicou a nova versão do documento PIN Security Requirements, agora em sua versão 3.0, revisada em março de 2019, introduzindo o roteiro de auditoria e testes dos processos.
A publicação desta versão complementou um movimento convergente da ANSI, que publicou os requisitos técnicos TR-31 e TR-34, envolvendo a troca e guarda segura de chaves em dispositivos com POS, PINPAD e ATM.
O uso de blocos de chaves criptográficas para a troca segura de chaves é um meio de usar um ou mais blocos para vincular partes da chave com informações sobre a chave resultante. Os blocos de chaves criptográficas podem ser usados para proteger as chaves TDEA e AES.
Os três desafios
Existe um primeiro desafio, que será migrar a infraestrutura de segurança para este novo padrão e todos os desafios de custos de equipamentos e operacionais envolvidos.
Em seguida será necessário substituir os antigos processos pelo novo, em todos pontos onde a distribuição e o tratamento de chaves será necessário. A começar pelas redes de ATM, POS PINPAD.
Depois, realizar pelo menos uma auto-avaliação, usando como base o roteiro de testes do PCI.
Novos prazos
O PCI alterou os prazos para as fases II e III em função dos impactos da pandemia do Covid-19. A nova data par fase II passou. ser janeiro de 2023.
Mas é importante lembrar que para o PCI a fase I já deve ter sido implantada para todos que manipulam chaves que processam senhas (PIN).
