"Você Pode Me Vender um Leitor Certificado PCI DSS?" É a Pergunta Errada

Aqui na ID TECH, recebemos muitas perguntas técnicas sobre o setor de pagamentos. Algumas pessoas ficam confusas com os requisitos do Payment Card Industry. Por exemplo, recebemos perguntas como: "Vocês podem me fornecer um Certificado PCI DSS para esses dispositivos?" ou "Não encontro o produto X no site do PCI — ele possui certificação P2PE?"

São perguntas comuns, mas que às vezes partem de premissas equivocadas. Se a suposição for de que dispositivos sem certificação PCI são, por natureza, menos seguros do que os certificados, isso simplesmente não é verdade.

A ID TECH pode fornecer hardware certificado PCI PTS SRED (como o SREDKey ilustrado ao lado; ou o Augusta S, Spectrum Pro, SecuRED, VP8800, entre outros), mas nossos dispositivos sem SRED também são altamente seguros e podem ser utilizados na maioria das soluções de pagamento desenvolvidas para o mercado.

PCI DSS é uma solução sistêmica que exige a certificação de todos os aspectos de um sistema de pagamento, não apenas dos dispositivos de hardware. O PCI DSS contempla 12 requisitos específicos sobre como uma solução em conformidade deve tratar a segurança de acesso e os dados do titular do cartão. Os itens a seguir foram extraídos diretamente da documentação PCI.

Objetivos de controle

Requisitos PCI DSS

Ao ler os requisitos, não há nenhuma declaração sobre qual hardware periférico de pagamento o PCI exige que os provedores de soluções incluam em sua solução. O PCI se preocupa principalmente com o fato de que você atenda aos requisitos, e não tanto com como você atende aos requisitos. Quando um provedor de soluções busca a certificação PCI DSS, pode utilizar um leitor sem criptografia, mas isso exporia a solução a um escrutínio adicional quanto à forma como o sistema lida com informações sensíveis. Ao utilizar um leitor de cartão com criptografia — no qual o estabelecimento comercial não tem capacidade de descriptografar os dados do cartão localmente nem dentro do ambiente de pagamento —, é muito provável que o QSA (Avaliador de Segurança Qualificado) possa ajudar o estabelecimento a obter uma valiosa redução de escopo nos requisitos nº 3, 4 e 9. (Cabe, porém, ao auditor determinar o nível real de redução de escopo.)

Pouquíssimos requisitos PCI estão relacionados ao hardware. O único hardware efetivamente certificado pelo PCI são os chamados dispositivos PCI PTS (Segurança de Transações com PIN) ou dispositivos 'SRED', nos quais reside o requisito de Leitura e Intercâmbio Seguro de Dados (SRED). Dispositivos não-SRED podem (e geralmente possuem) os mesmos recursos de criptografia que os dispositivos SRED, mas as versões não-SRED não contêm os mecanismos de inviolabilidade necessários para que um produto se qualifique para o SRED. (Vale ressaltar também que o PCI impõe regras rigorosas aos fabricantes quanto ao desenvolvimento seguro de software, atualização segura de software etc. Dispositivos SRED precisam ser seguros do início ao fim de seu ciclo de vida.) Os dispositivos com criptografia da ID TECH — mesmo aqueles que não são dispositivos 'SRED' — podem tecnicamente ser considerados em conformidade com o PCI, pois são utilizados em diversas soluções PCI DSS atualmente certificadas; no entanto, os próprios leitores não são "certificados PCI". A certificação PCI DSS se aplica à solução como um todo. Não se trata de um padrão em nível de dispositivo.

P2PE

Existe um equívoco comum no setor de pagamentos em relação ao "P2PE" (Criptografia Ponto a Ponto). Muitas vezes, quando as pessoas falam em "P2PE", elas estão se referindo, na verdade, a E2EE (criptografia de ponta a ponta). Quando um estabelecimento implanta um sistema de pagamento que oferece criptografia em nível de hardware dos dados do titular do cartão para o aplicativo de PDV, que por sua vez encaminha os dados criptografados a um gateway de pagamento (remoto), isso é considerado criptografia "de ponta a ponta". O P2PE é uma certificação oficial do PCI que abrange todos os aspectos de uma transação: o hardware utilizado (que deve ser SRED), o ambiente de implantação, o tratamento de dados (que deve ser mantido em conformidade com as regulamentações P2PE), o aplicativo de pagamento e a instalação de injeção de chaves e descriptografia. Apenas ter um dispositivo SRED em operação não torna automaticamente um sistema em conformidade com o P2PE.

É importante compreender que as certificações P2PE são extremamente custosas e raras. A maioria das pessoas que acredita precisar de "P2PE" na verdade não precisa. Pesquise cuidadosamente suas necessidades antes de tomar uma decisão.

Tem dúvidas sobre certificação PCI ou segurança de dispositivos de pagamento? Os especialistas técnicos da ID TECH estão prontos para ajudar. Entre em contato conosco a qualquer momento pelo telefone:

Número de Ligação Gratuita
1-800-984-1010

O post deste mês foi escrito por Jason Hall, Gerente de Produtos para Soluções sem Atendimento da ID TECH, com contribuições de Kas Thomas.