"Può vendermi un lettore certificato PCI DSS?" è la domanda sbagliata

Qui da ID TECH riceviamo molte domande tecniche sul settore dei pagamenti. A volte le persone hanno le idee confuse sui requisiti del Payment Card Industry. Ad esempio, ci vengono poste domande come: "Potete fornirmi un certificato PCI DSS per questi dispositivi?" oppure "Non trovo il prodotto X sul sito PCI: è certificato P2PE?"

Sono domande frequenti, ma talvolta nascono da presupposti errati. Se l'ipotesi di fondo è che i dispositivi non certificati PCI siano intrinsecamente meno sicuri di quelli certificati, non è affatto così.

ID TECH è in grado di fornire hardware certificato PCI PTS SRED (come il SREDKey mostrato a destra, o l'Augusta S, lo Spectrum Pro, il SecuRED, il VP8800 e altri), ma anche i nostri dispositivi non-SRED sono altamente sicuri e possono essere impiegati nella maggior parte delle soluzioni di pagamento sviluppate per il mercato.

PCI DSS è una soluzione di sistema che richiede la certificazione di tutti gli aspetti di un sistema di pagamento, non solo dei dispositivi hardware. PCI DSS comprende 12 requisiti specifici relativi alle modalità con cui una soluzione conforme deve gestire la sicurezza degli accessi e dei dati dei titolari di carta. Le voci seguenti sono tratte direttamente dalla documentazione PCI.

Obiettivi di controllo

Requisiti PCI DSS

Leggendo i requisiti, non vi è alcuna indicazione riguardo all'hardware periferico di pagamento che PCI richiede ai fornitori di soluzioni di includere nella propria soluzione. PCI è principalmente interessata al fatto che i requisiti vengano soddisfatti, e non tanto con come soddisfare i requisiti. Quando un fornitore di soluzioni ottiene la certificazione PCI DSS, potrebbe utilizzare un lettore non crittografante, ma questo esporrebbe la soluzione a un esame più approfondito riguardo alla gestione delle informazioni sensibili da parte del sistema. Utilizzando un lettore di carte con crittografia, in cui il commerciante non ha la possibilità di decifrare i dati della carta né localmente né all'interno dell'ambiente di pagamento, è molto probabile che il QSA (Qualified Security Assessor) possa aiutare il commerciante a ottenere una significativa riduzione dell'ambito di applicazione dei requisiti n. 3, 4 e 9. (Spetta tuttavia al revisore determinare il livello effettivo di riduzione dell'ambito.)

Pochissimi requisiti PCI riguardano l'hardware. L'unico hardware certificato da PCI, propriamente detto, è rappresentato dai cosiddetti dispositivi PCI PTS (PIN Transaction Security) o SRED, dove risiede il requisito SRED (Secure Reading and Exchange of Data). I dispositivi non SRED possono (e di solito lo fanno) disporre delle stesse funzionalità di crittografia dei dispositivi SRED, ma le versioni non SRED non contengono i meccanismi antimanomissione necessari affinché un prodotto possa ottenere la qualifica SRED. (Si noti inoltre che PCI prevede regole stringenti per i produttori in merito allo sviluppo sicuro del software, all'aggiornamento sicuro del software, ecc. I dispositivi SRED devono essere sicuri dalla produzione alla dismissione.) I dispositivi con crittografia di ID TECH (anche quelli che non sono dispositivi SRED) possono tecnicamente essere considerati conformi a PCI, in quanto vengono utilizzati in numerose soluzioni PCI DSS attualmente certificate, ma i lettori stessi non sono "certificati PCI". La certificazione PCI DSS si applica all'intera soluzione. Non è uno standard a livello di singolo dispositivo.

P2PE

Nel settore dei pagamenti esiste un malinteso comune riguardo al termine "P2PE" (Point to Point Encryption). Spesso, quando si parla di "P2PE", si intende in realtà l'E2EE (end-to-end encryption). Quando un commerciante implementa un sistema di pagamento che fornisce la crittografia a livello hardware dei dati del titolare della carta verso l'applicazione POS, la quale trasmette poi i dati cifrati a un gateway di pagamento (remoto), si parla di crittografia "end-to-end". P2PE è una certificazione ufficiale PCI che riguarda tutti gli aspetti di una transazione: dall'hardware utilizzato (che deve essere SRED), all'ambiente di distribuzione, alla gestione dei dati (che deve essere conforme alle normative P2PE), all'applicazione di pagamento, fino alla struttura di iniezione delle chiavi e di decrittografia. Il semplice utilizzo di un dispositivo SRED non rende automaticamente un sistema conforme a P2PE.

È importante sapere che le certificazioni P2PE sono estremamente costose e rare. La maggior parte delle persone che ritiene di aver bisogno del "P2PE" in realtà non ne ha bisogno. Valutate attentamente le vostre esigenze prima di procedere.

Hai domande sulla certificazione PCI o sulla sicurezza dei dispositivi di pagamento? Gli esperti tecnici di ID TECH sono a tua disposizione. Contattaci in qualsiasi momento al:

Numero Verde
1-800-984-1010

Il post di questo mese è stato scritto da Jason Hall, Product Manager di ID TECH per le Soluzioni Unattended, con il contributo di Kas Thomas.