Publicaciones

PCI MPoC: El estándar para la seguridad de los SoftPOS

13/03/2025

    En un reciente webinar, Albert Martorell, HW with Security Boxes Technical Domain Manager del área de ciberseguridad de Applus+ Laboratories, ofreció una visión detallada sobre el estándar PCI MPoC. Este artículo resume los puntos clave discutidos, ofreciendo valiosas ideas sobre la estructura, aplicación, criterios de evaluación, requisitos técnicos y certificación del estándar. La presentación de Albert formó parte del webinar titulado 'PCI MPoC: Certifying SoftPost Security'.

    Ecosistema de pagos móviles

    Una acción cotidiana, como comprar un producto o servicio, depende de un ecosistema complejo en el que las marcas de pago juegan un papel clave. Estas marcas poseen y supervisan el ecosistema, asegurando su seguridad a través de diversas evaluaciones y certificaciones requeridas para todas las partes interesadas. PCI SSC es una asociación formada por todas las principales marcas de pago y es responsable de proporcionar directrices y requisitos para la seguridad del PIN y PAN. Gestiona una amplia gama de programas diseñados para garantizar la seguridad del ecosistema de pagos (PCI DSS, PTS, PIN, P2PE, SSF, 3DS, MPoC, SPoC, CPoC, TSP, Producción de Tarjetas).

    Este ecosistema incluye bancos, comerciantes y proveedores de servicios, pero también se extiende a fabricantes y desarrolladores de soluciones de pago. Una transacción de pago involucra a múltiples partes: el consumidor utiliza la aplicación de pago de un comerciante, que interactúa con un procesador de pagos, servicios de atestación y monitoreo, para proporcionar datos de pago al adquirente. El adquirente luego evalúa el riesgo de la transacción, coordinándose con la marca de pago y el emisor para la aceptación final.

    Para operar dentro de este ecosistema, los proveedores de soluciones deben vender sus soluciones de pago a los comerciantes, mientras que los proveedores de servicios suministran sus productos y servicios a los proveedores de soluciones. Sin embargo, todas las entidades deben someterse primero a evaluaciones funcionales y de seguridad. En términos de seguridad, deben cumplir con estándares internacionales (como PCI) y regulaciones locales (como Common.SECC) antes de poder proceder con sus operaciones comerciales. En Applus+ Laboratories, ofrecemos la experiencia y los servicios de certificación necesarios para navegar con éxito estos requisitos.

    Resumen del estándar PCI MPoC

    PCI MPoC (Mobile Payment on Commercial Off-The-Shelf) es un estándar que permite la aceptación de pagos en dispositivos móviles como un smartphone, tablet o un dispositivo POI, e incluye dispositivos empresariales que no están destinados a la compra o uso por parte del público, excluyendo explícitamente dispositivos de placa desnuda como Raspberry Pi. Este estándar consolida casos de uso de los estándares CPoC y SPoC.

    Un dispositivo MPoC elegible debe incluir al menos una entrada de PIN COTS nativa o una interfaz sin contacto, junto con un método de entrada de tarjeta compatible con EMVCo (contacto, sin contacto o banda magnética). Sin embargo, la arquitectura del producto permanece completamente abierta a la innovación del desarrollador, siempre que cumpla con los requisitos de PCI MPoC.

    Un producto listo para el comerciante bajo este estándar se conoce como una Solución MPoC, que puede desarrollarse utilizando un enfoque monolítico (todo en uno) o modular. En un diseño modular, un componente de Software MPoC puede integrarse con un Servicio MPoC, que incluye Atestación y Monitoreo (A&M) y Servicios de Pago.

    El estándar también permite que una Aplicación MPoC se integre completamente dentro de un dispositivo COTS, TEE o SE, ya sea parcial o totalmente. Además, se pueden utilizar componentes externos para la entrada de PIN, transacciones de contacto o captura de datos de banda magnética. En tales casos, se recomienda utilizar dispositivos certificados por PCI PTS POI.

    Cambios en la versión 1.1 de PCI MPoC

    En noviembre de 2024, PCI lanzó los nuevos requisitos de PCI MPoC v1.1 mientras mantenía PCI MPoC v1.0.1. Esto hace que la versión 1.1 sea una ruta de certificación opcional pero valiosa para los productos MPoC.

    PCI MPoC v1.1 introduce una mayor flexibilidad para los proveedores de servicios y soluciones, una mejora que había sido ampliamente solicitada por la industria. Esta flexibilidad comienza con una definición ampliada de MPoC que ahora incluye dispositivos POI y dispositivos empresariales no destinados a la compra o uso público. Además, permite la integración de un SDK dentro de otro, permitiendo que los SDK de MPoC se integren en SDK no relacionados con pagos (por ejemplo, para casos de uso de transporte) y admitiendo múltiples SDK de pago mientras se segregan las funciones de pago y Atestación y Monitoreo (A&M).

    Para acomodar esto, PCI ha definido claramente la arquitectura de backend, dividiéndola en dos partes: A&M y Servicio de Pago. Esto permite que un solo proveedor de backend sirva a múltiples soluciones de Software MPoC o permite que una sola Solución MPoC utilice múltiples servicios de A&M.

    Estas mejoras también introducen nuevas opciones de certificación, incluyendo escenarios donde no se requiere una evaluación de laboratorio. Un proveedor de servicios ahora puede certificar los componentes de A&M y Servicio de Pago de MPoC junto con el Software MPoC, reduciendo la carga de certificación en el integrador de la solución final. También es posible certificar solo el componente de A&M de MPoC o en combinación con el Servicio de Pago.

    Otra introducción clave es el concepto de Evaluaciones de Vulnerabilidad. El Software MPoC debe someterse a una Evaluación de Vulnerabilidad antes de la certificación inicial y al menos una vez al año a partir de entonces. Aunque las pruebas de penetración pueden ser parte de este proceso, no son obligatorias si los resultados de la Evaluación de Vulnerabilidad lo consideran innecesario.

    La flexibilidad de MPoC v1.1 se extiende aún más: los requisitos de Software Seguro ya no son obligatorios, pero pueden evaluarse como parte de la evaluación de MPoC, y ahora se permiten HSMs certificados por FIPS 140-2 para implementaciones de backend.

    Sin embargo, con esta flexibilidad adicional vienen nuevos requisitos. El SDK debe identificarse de manera única con un nombre y versión, proporcionarse como un APK y no debe compartir ningún dato sensible con la aplicación o la plataforma COTS. Además, la versión ahora permite la inclusión de elementos comodín.

    Beneficios de la certificación PCI MPoC

    La nueva versión de MPoC incorpora las demandas más urgentes del mercado, haciendo que la certificación sea más flexible y eficiente, permitiendo una adopción más rápida. Applus+ Laboratories puede apoyarte durante todo el proceso de certificación MPoC, cubriendo tanto la funcionalidad como la seguridad, ayudándote a identificar el camino de certificación más valioso y adecuado para tus necesidades.

    Webinar y Presentaciones

    Publicada el 26 de noviembre de 2024, la versión 1.1 de la norma PCI Mobile Payments on COTS (MPoC) proporcionará una mayor flexibilidad en la forma de aceptar pagos y de desarrollar, implantar y mantener soluciones de aceptación de pagos basadas en COTS. En este webinar exploraremos más a fondo el ecosistema MPoC y cómo este transformará el panorama de los pagos móviles, ofreciendo mayor seguridad, escalabilidad y eficiencia tanto a comerciantes como a consumidores.

    Descargar la Presentación (en Inglés)

     

    Ver el video del webinar en Youtube (inglés)

     

    Ver todas las publicaciones

    Applus+ utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso. Para más información, consulta nuestra Política de Cookies. ​

    Panel de configuración de cookies