Consultoría PCI-PTS Y PCI-CPOC

PCI-PTS es un estándar definido por el Payment Card Industry Security Standards Council or PCI SSC (American Express, Discover, JCB international, MasterCard and Visa Inc) cuyo objetivo es la protección física y lógica del titular de la tarjeta y de otros datos sensibles en los dispositivos de pago seguro, entendiendo como tal un dispositivo Point Of Interaction (POI) o Hardware Security Module (HSM).

Este estándar evalúa los productos en base a un conjunto de requisitos comunes relacionados con la el diseño y la construcción segura de los dispositivos y en base a un conjunto de requisitos adicionales que dependen de las funciones implementadas por el módulo como pueden ser la capacidad del uso de redes inalámbricas o de cifrar los datos de las cuentas (SRED).

Por lo general, los fabricantes son los responsables de proporcionar los documentos Vendor Questioner y Security Requirements rellenos y de generar la documentación adicional necesaria para enviarla al laboratorio. Sin embargo, esta tarea puede ser frustrante para los fabricantes porque normalmente no sabe que documentos adicionales necesitan generar y cuál debe ser su contenido para cumplir con los requisitos de los documentos Derived Test Requirements (DTR) y Frequently Asked Questions el cual se actualiza periódicamente.

No dude en contactar con nosotros para obtener información adicional sobre la consultoría PCI-PTS, nuestro equipo de expertos le proporcionará la asistencia necesaria para que su módulo sea validado con éxito lo antes posible y con un menor coste y cantidad de recursos.

Para que un POI o un HSM sea aprobado por PCI-SSC, en primer lugar, es necesario que el fabricante contacte con un laboratorio PCI y que rellene el formulario PCI. En segundo lugar, el vendedor debe proporcionar tres dispositivos y el paquete de documentación al laboratorio y finalmente, una vez el dispositivo sea evaluado con éxito, el laboratorio debe enviar el informe al PCI-SSC para que el dispositivo sea incluido en la lista “Approved PTS Devices” en la web de PCI-PTS.

El proceso de evaluación llevado a cabo por el laboratorio consiste en la validación del POI o HSM evaluando las respuestas proporcionadas por el fabricante a los requisitos de seguridad del POI o HSM y a la documentación adicional generada, como el Vendor Questioner, la Security Policy, el manual de usuario, la guía para desarrolladores, etc.

La tarea de generar la ingente cantidad de documentación adicional necesaria además del documento de Security Requirements puede ser una tortura para alguien que no esté acostumbrado a trabajar con documentación de certificación de seguridad. La dificultad principal reside en que el Vendor Questioner es un documento que contiene varios cientos de preguntas que deben responderse y deben estar relacionadas con el resto de documentos, por tanto, cuando los fabricantes intentan enfrentarse a este proceso sin consultoría, a menudo implica retrasos en el desarrollo y la certificación del módulo.

Después de realizar un GAP análisis inicial, nuestro equipo de expertos le acompañará durante todo el proceso de evaluación identificando y generando la documentación adicional necesaria para cumplir con PCI-PTS o PCI-CPoC dependiendo del diseño y la funcionalidad del dispositivo.

Consúltenos acerca de nuestro servicio de consultoría PCI-PTS o PCI-CPoC y consiga que su dispositivo sea incluya en la lista “Approved PTS devices” en la página de PCI-PTS, reduciendo el tiempo de validación y consiguiendo una mejor oferta comercial debido a nuestro reconocimiento como consultores por parte de los laboratorios.