Tratamento de chaves criptográficas

Atualizar a infraestrutura, migrar o legado e aplicar testes aderentes ao PCI

O PIN Security Requirements sugere a tecnologia de “blocos de chaves” para a proteção das chaves criptográficas usadas para processar senhas.

À medida que as fraudes se tornam cada vez mais sofisticadas, a proteção às informações precisa evoluir, introduzindo cada vez mais recursos, com o objetivo de tornar a segurança robusta e eficaz.

A proteção às credenciais, senhas e outros métodos de autenticação está no centro das atenções porque a captura de credenciais e senhas tem sido um dos maiores desafios à proteção nos últimos tempos, representando algo em torno de 35% do total de fraudes identificadas, segundo boletim anual da IBM.

No segmento de pagamentos, o PCI tem evoluído constantemente seus procedimentos.

Pin Security Requirements

Em dezembro de 2014 foi publicado o documento “PIN Security Requirements v 2.0, para aumentar a segurança no uso de chaves criptográficas. A implementação de blocos de chaves – também denominados de “agrupamento de chaves” – visou melhorar a segurança das chaves simétricas que são compartilhadas entre os participantes do pagamento para proteger PINs e outros dados confidenciais.

Plano de implantação

A previsão era a implantação a partir de janeiro de 2018, mas em abril de 2017, a implementação foi segmentada em fases, para permitir uma evolução gradativa e controlada.

O plano de implantação foi dividido em 3 fases:

Fase I – com vigência prevista para junho de 2019 – O objetivo era implementar blocos de chaves para conexões internas e armazenamento de chaves em ambientes de provedores de serviços. Isso inclui todos os aplicativos e bancos de dados conectados a módulos de segurança de hardware (HSM). 

Fase II – Com vigência prevista para junho de 2021 – O objetivo é implementar blocos de chave para conexões externas a associações e redes.

Fase III – Com vigência a partir de junho de 2023 – Implementar blocos de chaves para se estender a todos os hosts de comerciantes, dispositivos de ponto de venda (POS) e caixas eletrônicos.

O uso de blocos de chaves criptográficas para a troca segura de chaves é um meio de usar um ou mais blocos para vincular partes da chave com informações sobre a chave resultante. Os blocos de chaves criptográficas podem ser usados para proteger as chaves TDEA e AES.

Em janeiro de 2019, o PCI publicou a nova versão do documento PIN Security Requirements, agora em sua versão 3.0, revisada em março de 2019, introduzindo o roteiro de auditoria e testes dos processos.

A publicação desta versão complementou um movimento convergente da ANSI, que publicou os requisitos técnicos TR-31 e TR-34, envolvendo a troca e guarda segura de chaves em dispositivos com POS, PINPAD e ATM.

O uso de blocos de chaves criptográficas para a troca segura de chaves é um meio de usar um ou mais blocos para vincular partes da chave com informações sobre a chave resultante. Os blocos de chaves criptográficas podem ser usados para proteger as chaves TDEA e AES.

Os três desafios

Existe um primeiro desafio, que será migrar a infraestrutura de segurança para este novo padrão e todos os desafios de custos de equipamentos e operacionais envolvidos. 

Em seguida será necessário substituir os antigos processos pelo novo, em todos pontos onde a distribuição e o tratamento de chaves será necessário. A começar pelas redes de ATM, POS PINPAD.

Depois, realizar pelo menos uma auto-avaliação, usando como base o roteiro de testes do PCI.

O PCI alterou os prazos para as fases II e III em função dos impactos da pandemia do Covid-19. A nova data par fase II passou. ser janeiro de 2023.

Mas é importante lembrar que para o PCI a fase I já deve ter sido implantada para todos que manipulam chaves que processam senhas (PIN).

Ao trabalho!

Deixe um comentário