Con estas nuevas siglas, PCI Security Standards Council refuerza la seguridad de la información para el pago con tarjetas agregando dispositivos de pago adicionales a las normas existentes

Además de los requisitos de seguridad para los dispositivos de introducción de PIN (PIN Entry Devices) ahora se añaden terminales de pago no atendidas (UPT, Unattended Payment Terminal) y módulos de seguridad (HSM, Hardware Security Devices) 

El PCI Security Standards Council, un organismo global de normas abiertas que gestiona las Normas de seguridad de la información de la industria de pagos con tarjeta (DSS, Data Security Standard) requisitos de seguridad para los dispositivos de entrada de PIN (PED, PIN Entry Devices), así como para la norma de seguridad de la información para las aplicaciones de pago (PA-DSS, Payment Application Data Security Standard), ha anunciado la inclusión de dos nuevos tipos de dispositivos en la industria de pagos para el programa PED. Los terminales de pago no atendidos (UPTs) y los módulos de seguridad del hardware (HSMs)  ahora pueden someterse a pruebas rigurosas y un programa de certificación para garantizar que cumplan con las normas de la industria para garantizar la confidencialidad de los datos sensibles en el pago con tarjeta durante cualquier punto de la transacción.

El Consejo también conservará una lista de UPTs y HSMs aprobados, aportará documentación y formación para los laboratorios que evalúen estos dispositivos y será una fuente única de información para los proveedores de dispositivos y sus clientes.

Los requisitos de seguridad PED están diseñados para garantizar la seguridad de las transacciones globales basadas en el número de identificación personal (PIN) y se aplican a dispositivos que aceptan la introducción de un PIN.

Hasta ahora, los requisitos se centraban en los dispositivos de los puntos de venta tradicionales que operan en un ambiente que es atendido por un comerciante, cajero o vendedor.

Los UPTs son dispositivos de pago no atendidos que incluyen máquinas de autoservicio expendedoras de tickets, kioscos, expendedoras de combustible y máquinas expendedoras automáticas.

Los fabricantes producen los PIN pads cifradores (EPPs, encrypting PIN pads) que se encuentran en los UPTs y los someten a evaluación por los laboratorios aprobados, y las marcas de las tarjetas de pago requieren el uso de EPPs aprobados por PCI SSC. Tener nuevos requisitos de prueba normalizados UPT facilitará la protección de los participantes en la industria de tarjetas de pago.

Los HSMs son dispositivos criptográficos seguros que se pueden usar para la traducción de PINs, personalización de tarjetas, comercio electrónico o para la protección de datos y no incluye ningún tipo de interfaz con el titular de la tarjeta. Agregar los UPTs y HSMs en los requisitos de prueba de seguridad PCI SSC hace posible que el Consejo brinde a los laboratorios de prueba un proceso de evaluación más eficiente para lograr la conformidad de estos dispositivos criptográficos.

“Los dispositivos de entrada de PIN exceden las típicas terminales POS con las que todos estamos familiarizados y que continuamente estamos expandiendo en más y más zonas”, afirmó Bob Russo, gerente general de PCI Security Standards Council. “Cualquier dispositivo que procesa números de identificación personal es un eslabón importante en la cadena de transacción. Al incluir tanto UPTs como HSMs en los Requisitos de Seguridad PED, el Consejo está reafirmando su compromiso para desarrollar normas adicionales que cumplan con las necesidades de la industria y que garanticen seguridad y protección continuas a los consumidores”.

Además de las marcas de tarjetas fundadoras, el Consejo consta de una variedad de organizaciones en la industria de pagos que tienen la oportunidad de contribuir con el desarrollo y mejora continua de las normas PCI. Se estimula a los fabricantes de UPTs y HSMs a que se unan al Consejo como Organización Participante. Aquellos que se unan tendrán la oportunidad de revisar y aportar su opinión sobre los requisitos y procesos preliminares para probar y certificar que los dispositivos UPT y HSM son seguros y protegidos. El Consejo emitirá un conjunto final de requisitos y documentación a fines de 2008.

El PCI Security Standards Council nació de la iniciativa de las marcas de las tarjetas de pago más importantes como American Express, Discover Financial Services, JCB, Mastercard Worldwide y Visa International para proporcionar un foro transparente en el que todos los interesados dispongan de información adecuada en relación con los continuos desarrollos, mejoras y la distribución de la norma de seguridad de la información (DSS), los requisitos de seguridad para el dispositivo de entrada de PIN (PED) y la norma de seguridad de la información para las aplicaciones de pago (PA-DSS). Los comerciantes, bancos, procesadores y proveedores de puntos de venta son constantemente invitados a unirse como Organizaciones Participantes