¿Cuál es el proceso para usar dispositivos de PDI implementados anteriormente en una solución PCI P2PE?

3

Una pregunta para las preguntas frecuentes " ¿Cuál es el proceso para usar dispositivos de PDI implementados anteriormente en una solución PCI P2PE? ".

¿En el siguiente caso, significa "recargar claves criptográficas" que debería cargar la nueva Clave Maestra Inicial de Terminal de POI en los dispositivos de POI utilizando técnicas de carga asimétrica de claves o técnicas manuales?

¿Es aceptable simplemente reemplazar el TMK existente con el nuevo TMK utilizando el mecanismo estándar de intercambio de clave simétrica para "recargar claves criptográficas" en el siguiente caso?

Si el proveedor de la solución carece de pruebas suficientes para verificar que se hayan cumplido los requisitos de P2PE aplicables (según lo determine un Asesor de P2PE durante el curso de una evaluación de P2PE), todo el firmware, las claves criptográficas, las configuraciones y el software deben ser recargado en los dispositivos POI de acuerdo con los requisitos aplicables de P2PE.

    
pregunta Bingnan 05.10.2017 - 09:56
fuente

2 respuestas

1

Esto puede ser complejo, por lo que, con seguridad, debe solicitar el P2PE QSA. El objetivo es garantizar la integridad del POI y sus claves asociadas. Si la actualización de la clave cumple con los requisitos de administración de claves de P2PE y la inyección de la clave inicial se completó en un entorno validado por P2PE luego de procesos validados, entonces generalmente estará bien, PERO porque cada proveedor de POI y proveedor de soluciones tiene su propia manera de hacer las cosas. , solo un P2PE QSA que esté familiarizado con la solución puede darle una respuesta definitiva.

    
respondido por el withoutfire 08.10.2017 - 12:56
fuente
1

A menos que se pueda verificar que la procedencia de las claves asimétricas del dispositivo cumpla con los requisitos de administración clave del Dominio 6 y el Anexo 6 del Dominio 6, el dispositivo deberá devolverse a una Instalación de inyección de claves y nuevas claves inyectadas.

Las nuevas claves que se inyectarán probablemente sean nuevas simétricas para facilitar la inyección remota de claves en el futuro. La clave inicial para la obtención de claves futuras para el cifrado PAN también se puede inyectar en el KIF o posteriormente mediante distribución asimétrica.

Debido a lo difícil que es una tarea, devolver un estado de PDI completo para el cambio de clave, el SSC de PCI tiene una evaluación disponible denominada Evaluación de la solución de cifrado no incluida en la lista. Esto se conoce como NESA: para referencia, consulte enlace

El NESA puede permitir la reducción del alcance en un entorno comercial incluso si no se cumplen todos los requisitos de P2PE. Un P2PE QSA debe evaluar el riesgo en términos de los elementos que no cumplen con los requisitos, pero los Dominios 5 y 6 deben estar completamente implementados.

    
respondido por el AndyMac 05.02.2018 - 14:38
fuente

Lea otras preguntas en las etiquetas