Preguntas frecuentes
¿Qué son los Bloques de Claves (Key Blocks)?
Los Bloques de Claves son un método estándar para proteger la integridad de las claves criptográficas y asociarlas con su uso previsto. Pueden utilizarse para proteger tanto claves del Algoritmo de Cifrado de Datos Triple (TDEA o 3DES) como del Estándar de Cifrado Avanzado (AES). Su función principal es salvaguardar el secreto y la integridad de la clave cifrada.
¿Por qué son importantes los Bloques de Claves para la seguridad de los pagos?
Los Bloques de Claves desempeñan un papel crucial en la protección de las claves criptográficas utilizadas para asegurar los datos de pago. Son importantes porque previenen el uso indebido de estas claves y dificultan significativamente que los atacantes exploten vulnerabilidades que podrían permitir la modificación, sustitución o descubrimiento no autorizado de una clave criptográfica que protege información de pago. Facilitan la correcta aplicación de la criptografía.
¿Cuál es la diferencia entre los Bloques de Claves y el Agrupamiento de Claves (Key Bundling)? ¿Son lo mismo?
No son lo mismo, aunque están relacionados. El Agrupamiento de Claves es un concepto introducido en los años 90 para proteger las claves del Estándar de Cifrado de Datos Triple (TDES). No tiene utilidad más allá de TDES y se centra específicamente en prevenir la reordenación de las claves DES que componen una clave TDES. Si bien los Bloques de Claves/Key Wrapping también logran esto, ofrecen una funcionalidad más amplia, siendo aplicables tanto a claves AES como TDES. El Agrupamiento de Claves ha sido esencialmente reemplazado por el concepto más amplio de Bloques de Claves.
¿Cuáles son algunos de los riesgos potenciales para las organizaciones que no implementan los Bloques de Claves criptográficos según lo requerido por el Estándar de Seguridad de PIN del PCI?
No implementar los Bloques de Claves según lo exige el Estándar de Seguridad de PIN del PCI podría dejar a las organizaciones vulnerables a un mayor número de ataques, lo que podría resultar en la exposición de datos de pago. Los Bloques de Claves son fundamentales para proteger la criptografía que, a su vez, protege los datos de pago. Las organizaciones que no los utilizan corren un mayor riesgo de sufrir una brecha que podría pasar desapercibida durante un período prolongado, con consecuencias significativas. Esto puede llevar a situaciones de extorsión o, peor aún, al compromiso y eliminación completa de datos valiosos. Además, el riesgo no se limita a la organización afectada, sino que se extiende a todo el ecosistema, impactando a tarjetahabientes, emisores, terceros y marcas de pago.
¿Qué está haciendo el PCI SSC con respecto a los Bloques de Claves? ¿Qué recursos ofrece el PCI SSC para apoyar la implementación de Bloques de Claves criptográficos?
Los Bloques de Claves son una parte importante del Estándar de Seguridad de PIN del PCI. El PCI SSC ha desarrollado suplementos de información y Preguntas Frecuentes que proporcionan información técnica más detallada sobre cómo implementar y utilizar los Bloques de Claves según lo requerido en el estándar. Además, el PCI SSC publica una serie de blogs más detallados sobre este y otros temas criptográficos relacionados. Los documentos clave incluyen el Suplemento de Información de 2017: Bloques de Claves Criptográficas, y el Suplemento de Información de 2019: Requisito de Seguridad de PIN 18-3 – Bloques de Claves. Estos documentos contienen información útil sobre métodos aceptables para la implementación, fechas importantes y preguntas frecuentes relevantes.
¿Dónde puedo encontrar más información y recursos sobre los Bloques de Claves proporcionados por el PCI SSC?
Puede encontrar más información y recursos en el sitio web del PCI Security Standards Council (PCI SSC). Se recomienda consultar la sección de “Resources” (Recursos), donde se encuentra la “Document Library” (Biblioteca de Documentos) que incluye los estándares, suplementos de información y Preguntas Frecuentes. Específicamente, busque los suplementos de información sobre Bloques de Claves Criptográficas y el Requisito de Seguridad de PIN 18-3. Además, el “PCI Perspectives Blog” también contiene publicaciones relevantes sobre este tema.
¿Qué tipos de claves criptográficas pueden protegerse utilizando Bloques de Claves?
Los Bloques de Claves pueden utilizarse para proteger tanto claves del Algoritmo de Cifrado de Datos Triple (TDEA o 3DES) como claves del Estándar de Cifrado Avanzado (AES).
¿El incumplimiento de la implementación de Bloques de Claves podría afectar la validación PCI DSS de una organización?
Si bien la pregunta se refiere específicamente al Estándar de Seguridad de PIN del PCI, el uso adecuado de la criptografía, incluyendo la protección de claves, es un componente fundamental de la seguridad de los datos de pago. El incumplimiento de los requisitos del Estándar de Seguridad de PIN del PCI, que incluye la implementación de Bloques de Claves cuando corresponda, ciertamente resultará en una no conformidad con ese estándar. Dado que la protección de las claves criptográficas es un principio de seguridad esencial, las deficiencias en esta área podrían también tener implicaciones para el cumplimiento de otros estándares PCI, como el PCI DSS, especialmente en lo que respecta al cifrado y la gestión de claves. Es crucial cumplir con los requisitos específicos del estándar al que una organización está sujeta.
También te puede Interesar: Asesoría en Fases PCI PIN 3.1
Fuente: Extractos del artículo “Key Blocks 101” publicado en el blog del PCI Security Standards Council (PCI SSC) el 9 de julio de 2019.
