Qué es PCI-PTS
Este estándar evalúa los productos en base a un conjunto de requisitos comunes relacionados con la el diseño y la construcción segura de los dispositivos y en base a un conjunto de requisitos adicionales que dependen de las funciones implementadas por el módulo como pueden ser la capacidad del uso de redes inalámbricas o de cifrar los datos de las cuentas (SRED).
Por lo general, los fabricantes son los responsables de proporcionar los documentos Vendor Questioner y Security Requirements rellenos y de generar la documentación adicional necesaria para enviarla al laboratorio. Sin embargo, esta tarea puede ser frustrante para los fabricantes porque normalmente no sabe que documentos adicionales necesitan generar y cuál debe ser su contenido para cumplir con los requisitos de los documentos Derived Test Requirements (DTR) y Frequently Asked Questions el cual se actualiza periódicamente.
No dude en contactar con nosotros para obtener información adicional sobre la consultoría PCI-PTS, nuestro equipo de expertos le proporcionará la asistencia necesaria para que su módulo sea validado con éxito lo antes posible y con un menor coste y cantidad de recursos.
El estándar PCI-CPoC
Esta nueva norma de seguridad ha sido aprobada por el Consejo de Normas de Seguridad de PCI (PCI SSC) para los teléfonos inteligentes u otros dispositivos de pago sin contacto, como wearables, tablets, etc. conocidos como COTS (commercial off-the-shelf).
El estándar PCI CPoC aporta requisitos de seguridad y pruebas para los productos que admiten pagos sin contacto en un dispositivo COTS comercial utilizando un lector NFC incorporado.
El proceso de certificación es similar al que se lleva a cabo para el PCI-PTS. Una vez que el producto se valida con el estándar PCI CPoC, aparecerá en el sitio web del PCI SSC, donde los compradores podrán encontrar los productos que se han desarrollado y probado en laboratorio para proteger los datos de pago sin contacto.
Proceso de validación de PCI-PTS y PCI-CPoC
Para que un POI o un HSM sea aprobado por PCI-SSC, en primer lugar, es necesario que el fabricante contacte con un laboratorio PCI y que rellene el formulario PCI. En segundo lugar, el vendedor debe proporcionar tres dispositivos y el paquete de documentación al laboratorio y finalmente, una vez el dispositivo sea evaluado con éxito, el laboratorio debe enviar el informe al PCI-SSC para que el dispositivo sea incluido en la lista “Approved PTS Devices” en la web de PCI-PTS.
El proceso de evaluación llevado a cabo por el laboratorio consiste en la validación del POI o HSM evaluando las respuestas proporcionadas por el fabricante a los requisitos de seguridad del POI o HSM y a la documentación adicional generada, como el Vendor Questioner, la Security Policy, el manual de usuario, la guía para desarrolladores, etc.
La tarea de generar la ingente cantidad de documentación adicional necesaria además del documento de Security Requirements puede ser una tortura para alguien que no esté acostumbrado a trabajar con documentación de certificación de seguridad. La dificultad principal reside en que el Vendor Questioner es un documento que contiene varios cientos de preguntas que deben responderse y deben estar relacionadas con el resto de documentos, por tanto, cuando los fabricantes intentan enfrentarse a este proceso sin consultoría, a menudo implica retrasos en el desarrollo y la certificación del módulo.
Después de realizar un GAP análisis inicial, nuestro equipo de expertos le acompañará durante todo el proceso de evaluación identificando y generando la documentación adicional necesaria para cumplir con PCI-PTS o PCI-CPoC dependiendo del diseño y la funcionalidad del dispositivo.
Consúltenos acerca de nuestro servicio de consultoría PCI-PTS o PCI-CPoC y consiga que su dispositivo sea incluya en la lista “Approved PTS devices” en la página de PCI-PTS, reduciendo el tiempo de validación y consiguiendo una mejor oferta comercial debido a nuestro reconocimiento como consultores por parte de los laboratorios.
Ellos ya han confiado en nosotros. ¡Hablemos!
¿Qué ofrecemos?
-
GAP ANALISIS
Verificamos el estado actual de su documentación y su dispositivo y le informamos acerca de los cambios que son necesarios llevar a cabo antes de pasar por el proceso de desarrollo/certificación.
Este servicio es muy interesante en PCI-PTS y PCI-CPoC dado que los dispositivos deben cumplir algunos requisitos específicos dependiendo de su funcionalidad y tener un entendimiento claro de los mismos, evitando problemas en las últimas etapas del desarrollo.
-
CONSULTORIA
Le ofrecemos el máximo soporte durante el proceso de evaluación para hacer que su módulo sea validado lo antes posible.
Contestar a las preguntas del Vendor Questionnaire y generar el paquete de documentación adicional no es algo trivial si no se está acostumbrado a ello.
Nosotros podemos hacerlo por usted, permitiéndole centrar los esfuerzos en su producto y ahorrando su tiempo, dinero y recursos.
-
FORMACION
¿Necesita tu equipo ganar experiencia en PCI-PTS o PCI-CPoC? Podemos proporcionarle formación personalizada.
Tras la formación, su equipo podrá redactar la documentación necesaria para PCI-PTS o PCI-CPoC por su cuenta.