En noviembre 2022, el Consejo PCI Security Standards  publicó una nueva norma, la muy esperada: Mobile Payments on COTS Standard o MPoC.

Aquí te compartimos entrevista de Alice Malone, directora de relaciones públicas del PCI Security Standards Council con  Andrew Jamieson, Vicepresidente de Estándares de Soluciones, quien explicará sobre qué trata la norma y a quién afectará.

Alicia Malone: Así que, antes de sumergirnos en los detalles de esta nueva norma, cuéntanos qué es MPoC. ¿Qué es Mobile Payments on COTS de PCI?

Andrew Jamieson: Como ha dicho, es una nueva norma que publicamos el mes pasado, en noviembre de 2022, y que establece los requisitos de seguridad para las implementaciones que aceptan datos de tarjetas con PIN y/o sin contacto en un dispositivo COTS.

Por dispositivo COTS se entiende básicamente un teléfono móvil o una tableta, aunque su ámbito de aplicación es un poco más amplio. Se trata básicamente de una evolución de nuestras normas SPoC y CPoC, pero hemos incorporado flexibilidad adicional a la norma para dar cabida a tres tipos diferentes de productos listados, de modo que donde SPoC y CPoC sólo tenían la capacidad de (en SPoC, es un PIN, pero no tarjetas y en CPoC, tarjetas, pero no PIN), nosotros lo hemos combinado en MPoC, en una norma más flexible.

Alicia Malone: Háblenos un poco del proceso de desarrollo de MPoC. ¿Qué importancia ha tenido la colaboración del sector en esta norma?

Andrew Jamieson: Fue vital. Absolutamente vital. Esta norma se desarrolló en respuesta directa a los comentarios de la comunidad. Como ya he dicho, es una amalgama de las normas SPoC y CPoC existentes, y nos enteramos de que la gente quería una norma única que les permitiera aceptar datos de tarjetas y PIN en un único dispositivo COTS. Y también buscaban una mayor flexibilidad. Buscaban soluciones que pudieran adaptarse a nichos de mercado, así como a grandes implantaciones: 10 comercios, 100 comercios o 10 millones de comercios, básicamente.

Eso es realmente lo que intentamos hacer con MPoC y esa es la verdadera diferencia de esta norma. Y, como parte de ello, ya que estamos trabajando en ello, hemos tenido dos procesos RFC (Request for Comments) sobre el estándar como un nuevo estándar. Tenemos procesos RFC para cada nueva norma que publicamos y eso nos proporcionó más de 900 elementos de retroalimentación individual y que fue fundamental en la forma en que esta norma se unió. Realmente, sería una norma diferente sin todos esos comentarios, y creo, personalmente, que una norma no tan buena. Los comentarios, las aportaciones de la comunidad, la información que recibimos sobre cómo quería la gente que se estructurara, cómo querían utilizarla, realmente la convirtieron en la norma que es hoy.

Alicia Malone: ¿En qué se diferencia PCI MPoC de las otras normas móviles de PCI, SPoC y CPoC? Sé que lo ha mencionado brevemente, pero ¿cuál es la gran diferencia?

Andrew Jamieson: Ya lo he mencionado. He dicho que son una amalgama, pero eso quizás sea un poco injusto con MPoC. Desde el punto de vista de la experiencia del usuario, no es tan diferente. Como he dicho, permite leer el PIN y la tarjeta sin contacto directamente en el teléfono móvil. Sin embargo, cuando se mira bajo el capó, es un estándar que se creó de la nada. Se trata de una norma totalmente nueva basada en la experiencia y los conocimientos adquiridos con las normas SPoC y CPoC para permitir que esos dos datos de la tarjeta se introduzcan en un único teléfono móvil, pero también para añadir flexibilidad, para añadir la capacidad de admitir kits de desarrollo de software, para añadir la capacidad de admitir la aprobación del software que se utiliza en una solución MPoC independientemente de la solución global. Para ello, tuvimos que considerar los requisitos desde una nueva perspectiva, estructurar las cosas de forma diferente, separar los aspectos técnicos o de desarrollo de los operativos. Desde el punto de vista de la experiencia del usuario, son similares, pero desde el punto de vista operativo, son muy diferentes.

Alicia Malone: Hablemos más de esa flexibilidad añadida que ha mencionado y de cómo se han separado los aspectos operativos de los de desarrollo. ¿Puede dar un ejemplo de cómo esto puede ser beneficioso?

Andrew Jamieson: Sí. Un buen ejemplo, y he mencionado que apruebas el software por separado, o puedes aprobar el software por separado. Todavía se puede aprobar toda la solución. Eso también está bien bajo MPoC, pero si lo haces, cuando te fijas en ese aspecto del software, si lo apruebas por separado, hay requisitos que tenemos en torno a la gestión de claves, por ejemplo.

La gestión de claves es un buen ejemplo. El software tiene que implementar y ser capaz de soportar una gestión de claves fuerte, robusta y segura, y esto implica cómo se generan y distribuyen y almacenan y utilizan las claves, etcétera, etcétera. Sin embargo, eso es sólo cómo se implementa en el software. Cuando se despliega ese software, cuando se utiliza como parte de una solución MPoC, hay un aspecto de cómo se utiliza realmente. ¿Qué ocurre en el backend? ¿Cómo se generan las claves? ¿Cómo se gestionan?

También hay aspectos operativos. Este es un buen ejemplo de cómo lo separamos y tenemos dos secciones de gestión de claves, esencialmente en MPoC, una de ellas centrada en cómo implementa el software la gestión de claves. Y luego, ¿cómo funciona en los aspectos operativos en los backends y así sucesivamente? Y ese es un ejemplo de cómo funciona. Para que sea beneficioso, permite esa separación. Te permite decir: “Vale, podemos aprobar este software por separado”, y eso añade esa flexibilidad que la gente estaba buscando.

Alicia Malone: ¿Cuáles son algunos de los dispositivos comerciales a los que se dirige esta última norma?

Andrew Jamieson: Sí. He mencionado los teléfonos móviles, pero es más amplio. En general, se puede pensar en teléfonos móviles y tabletas, pero básicamente lo que estamos haciendo es ver cómo la gente está cambiando su forma de interactuar en el comercio cara a cara. Y así, la gente quiere ser capaz de, sobre una base ad hoc, utilizar potencialmente su teléfono móvil y tal vez están en un mercado o algo por el estilo y quieren ser capaces de aceptar transacciones, pero también hay un deseo de utilizar diferentes tipos de dispositivos, así en este contexto. Tal vez se trate de dispositivos comerciales que han sido diseñados para la toma de valores y así sucesivamente y quieren ser capaces de aceptar transacciones en este tipo de dispositivos también. Tenemos ciertas normas en torno a los tipos de dispositivos que están permitidos, pero es sin duda más amplio que los teléfonos móviles y tabletas estándar, pero son el foco principal.

Alicia Malone: ¿Existen amenazas específicas a la seguridad de los datos que esta norma MPoC pretenda abordar?

Andrew Jamieson: Sí. Básicamente, en lo que respecta a la seguridad de los datos, se trata de garantizar la seguridad de la transacción que se realiza y, por supuesto, de los datos que intervienen en ella. Al tratarse de una norma centrada en dispositivos de propósito general, en concreto dispositivos que no están diseñados exclusiva y específicamente para el procesamiento de pagos, una parte muy importante de la generación de esta norma ha sido cómo podemos asegurarnos de que el entorno operativo -ejecutar una aplicación de pago en un dispositivo de propósito general- cómo podemos asegurarnos de que la aplicación MPoC está protegida, es capaz de funcionar, es capaz de proteger los datos que gestiona y protege.

Así que, durante el desarrollo de la norma, tuvimos en cuenta los diferentes modelos de amenaza, los diferentes escenarios de ataque. Trabajamos a lo largo de la norma para asegurarnos de que los requisitos fueran suficientes para mitigar esos tipos de ataques y proteger los datos confidenciales, en concreto, ¿cómo protegemos el PIN cuando se introduce en estos dispositivos? ¿Cómo protegemos los datos de la tarjeta cuando se introducen a través de NFC? ¿Cómo se garantiza la seguridad de una solución que integra varios SDK y que permite, por ejemplo, integrar hasta dos SDK en una única aplicación MPoC? Estos son solo algunos de los aspectos que se tuvieron en cuenta a la hora de elaborar la norma.

Alicia Malone: Es muy interesante para mí cómo el entorno de pago, el paisaje de pago, la forma en que hacemos los pagos, está cambiando tan rápidamente. ¿Cree que con el auge y la popularidad de los pagos móviles hoy en día los terminales de pago serán cosa del pasado? ¿Qué cree que nos deparará el futuro?

Andrew Jamieson: Bueno, si tuviera una bola de cristal, ya me habría tocado la lotería y estaría sentado en alguna playa. Tal vez en la soleada Melbourne, hoy ha salido el sol, pero quizá en algún lugar un poco más cálido en invierno. Por desgracia, no tengo una bola de cristal. Puedo hablar de lo que hemos considerado y lo que hemos visto como prólogo a la generación de la norma MPoC. Como ya he dicho, vemos que la gente quiere tener más flexibilidad a la hora de aceptar pagos cara a cara, utilizando tarjetas en ese tipo de entornos y, potencialmente, teléfonos móviles y tabletas y distintos tipos de dispositivos COTS para interactuar con el entorno terminalizado. Y, por supuesto, las normas que tenemos como PCI PTS POI, que se centran en esos entornos de terminales, probablemente utilizaría una analogía en el lado emisor. Por lo tanto, creo que todo el mundo está relativamente familiarizado con tener tarjetas de pago físicas, por supuesto, pero también con la posibilidad de utilizar su teléfono para realizar un pago. Tener la tarjeta en el teléfono y pulsar el teléfono en un terminal, en lugar de la tarjeta.

Esto no significa que las tarjetas vayan a desaparecer. Seguimos teniendo gente con tarjetas en la cartera, en el bolso, lo que sea, así como tarjetas en el teléfono y creo que existe la posibilidad, la oportunidad, en mi opinión, la probabilidad de que veamos el entorno terminalizado – cosas como los terminales PCI PTS existen y coexisten junto con las soluciones MPoC también. No creo que las soluciones MPoC devoren, por así decirlo, esa población de terminales. Veo que se suman a ella y, por tanto, veremos un aumento de la capacidad de la gente para aceptar pagos con tarjeta y ese aumento se basará en el aumento de la población de soluciones basadas en cosas como MPoC y los terminales seguirán existiendo.

Alicia Malone: ¿Qué le gustaría que nuestros oyentes, nuestra audiencia, supieran sobre este nuevo estándar MPoC? ¿Qué cree que es lo más importante?

Andrew Jamieson: Me han preguntado por una cosa importante. Voy a hacer un poco de trampa y le daré dos, si le parece bien, y esas dos cosas son esencialmente que MPoC se centra realmente en la flexibilidad. Está diseñado para proporcionar a la gente la oportunidad de crear esas aplicaciones para 10 comerciantes o 10 millones de comerciantes, para que sus aspectos técnicos figuren por separado de sus aspectos operativos en este tipo de soluciones.

El segundo punto que realmente me gustaría que la gente entendiera es lo impactante que ha sido toda la retroalimentación que hemos recibido durante el proceso de desarrollo. Ya lo mencioné al principio, pero voy a volver a hacerlo, porque realmente fue algo que condujo a una norma materialmente mejorada a través de todos los comentarios que recibimos y me gustaría, en primer lugar, dar las gracias a todos los que participaron. Y si hay personas que están escuchando esto que nunca han participado en un proceso de RFC antes, me gustaría animarles a que consideren participar en el futuro, porque sus comentarios son muy importantes para nosotros, creando los estándares que hacemos y asegurándonos de que esos estándares se ajustan al propósito y son absolutamente lo mejor que pueden ser.

Alicia Malone: Sí. Estoy de acuerdo contigo, Andrew. Sé que ha sido una norma muy popular. Muy esperado. De hecho, cuando publiqué en LinkedIn que la norma se había publicado, siempre me siento abrumada y asombrada por la respuesta de la comunidad de partes interesadas y por la cantidad de veces que se comparte una publicación como esa entre cualquiera que gestione pagos móviles, así que creo que es realmente un testimonio de la popularidad de esta norma y de la necesidad de la misma en nuestro sector.