Terminología del sector

Una clave de trabajo del adquirente (AWK) es una clave que se utiliza normalmente para intercambiar datos entre un adquirente o el procesador del adquirente y una red (como Visa o Mastercard). Históricamente, AWK utiliza el 3DES para el cifrado y se representa como TR31_P0_PIN_ENCRYPTION_KEY.

Una clave de derivación base (BDK) es una clave funcional que se utiliza para derivar claves posteriores y se utiliza normalmente como parte del proceso PCI PIN y PCI P2PE DUKPT. Se denomina TR31_B0_BASE_DERIVATION_KEY.

Una clave maestra de tarjeta (CMK) es una o más claves específicas de una tarjeta que normalmente se derivan de una Clave maestra del emisor, PAN y PSN y, por lo general, son claves 3DES. Estas claves se almacenan en el chip EMV durante la personalización. Entre los ejemplos de CMK se incluyen las teclas AC, SMI y SMC.

Una clave de criptograma de aplicación (AC) se utiliza como parte de las transacciones EMV para generar el criptograma de la transacción y es un tipo de clave maestra de tarjeta.

Una clave de integridad de mensajería segura (SMI) se utiliza como parte de EMV para verificar la integridad de las cargas útiles enviadas a la tarjeta mediante MAC, como los scripts de actualización de PIN. Es un tipo de clave maestra de la tarjeta.

Como parte del EMV, se utiliza una clave de confidencialidad segura de la mensajería (SMC) para cifrar los datos enviados a la tarjeta, como las actualizaciones del PIN. Es un tipo de clave maestra de la tarjeta.

Una clave de verificación de tarjeta (CVK) es una clave que se utiliza para generar valores CVV, CVV2 y similares mediante un algoritmo definido, así como para validar una entrada. Se denomina TR31_C0_CARD_VERIFICATION_KEY.

El iCVV es un valor similar al CVv2, pero está integrado con los datos equivalentes a la pista 2 en una tarjeta EMV (chip). Este valor se calcula con un código de servicio 999 y es diferente al CVV1/CVV2 para evitar que la información robada se utilice para crear nuevas credenciales de pago de otro tipo. Por ejemplo, si se obtuvieron datos de transacciones con chip, no es posible utilizarlos para generar una banda magnética (CVV1) o para realizar compras en línea (CVV2).

Utiliza una clave CVK

Una clave maestra del emisor (IMK) es una clave maestra que se utiliza como parte de la personalización de la tarjeta con chip EMV. Normalmente, habrá 3 IMK: una para las claves AC (criptograma), SMI (clave maestra de script para integridad o firma) y SMC (clave maestra de script para confidencialidad o cifrado).

Una clave inicial (IK) es la primera clave utilizada en el proceso DUKPT y se deriva de la clave de derivación básica (BDK). No se procesa ninguna transacción en esta clave, pero se usa para derivar claves futuras que se usarán para las transacciones. El método de derivación para crear una IK se definió en X9. 24-1:2017. Cuando se utiliza un BDK TDES, el estándar aplicable es el X9. 24-1:2009 y el IK se sustituye por la clave de cifrado con PIN inicial (IPEK).

Una clave de cifrado de PIN inicial (IPEK) es la clave inicial que se utiliza en el proceso DUKPT y se deriva de la clave de derivación básica (BDK). No se procesa ninguna transacción en esta clave, pero se usa para derivar claves futuras que se usarán para las transacciones. IPEK es un nombre inapropiado, ya que esta clave también se puede utilizar para derivar claves de cifrado de datos y de Mac. El método de derivación para crear un IPEK se definió en X9. 24-1:2009. Cuando se utiliza un BDK de AES, el estándar aplicable es el X9. 24-1:2017 y el IPEK se sustituye por la clave inicial (IK).

Una clave de trabajo del emisor (IWK) es una clave que se utiliza normalmente para intercambiar datos entre un emisor o procesador del emisor y una red (como Visa o Mastercard). Históricamente, IWK utiliza el 3DES para el cifrado y se representa como TR31_P0_PIN_ENCRYPTION_KEY.

Una clave de cifrado clave (KEK) es una clave que se utiliza para cifrar otras claves, ya sea para su transmisión o almacenamiento. Las claves destinadas a proteger otras claves suelen tener el valor TR31_K0_KEY_ENCRYPTION_KEY según el estándar KeyUsage. TR-31

Una clave de cifrado de PIN (PEK) es un tipo de clave funcional que se utiliza para cifrar los PIN, ya sea para su almacenamiento o transmisión entre dos partes. IWK y AWK son dos ejemplos de usos específicos de las claves de cifrado de PIN. Estas claves se representan como TR31_P0_PIN_ENCRYPTION_KEY.

Una clave de verificación de PIN (PVK) es un tipo de clave de trabajo que se utiliza para generar valores de verificación de PIN, como la PVV. Los dos tipos más comunes son TR31_V1_IBM3624_PIN_VERIFICATION_KEY que se utiliza para generar valores de compensación IBM3624 y TR31_V2_VISA_PIN_VERIFICATION_KEY que se utiliza para los valores de verificación Visa o ABA.

El criptograma de solicitud de autorización (ARQC) es un criptograma generado en el momento de la transacción mediante una tarjeta con chip estándar EMV (o una implementación sin contacto equivalente). Por lo general, un ARQC se genera mediante una tarjeta con chip y se envía al emisor o a su agente para su verificación en el momento de la transacción.

La clave única derivada por transacción (DUKPT) es un estándar de administración de claves que se utiliza normalmente para definir el uso de claves de cifrado de un solo uso en puntos de venta o POI físicos. Históricamente, DUKPT utiliza el 3DES para el cifrado. El estándar industrial para el DUKPT se define en el ANSI X9.24-3-2017.

EMV (originalmente Europay, Mastercard y Visa) es un organismo técnico que trabaja con las partes interesadas en los pagos para crear estándares y tecnologías de pago interoperables. Un ejemplo de norma es el de las tarjetas con chip o sin contacto y los terminales de pago con los que interactúan, incluida la criptografía utilizada. La derivación de claves EMV se refiere a los métodos que permiten generar claves únicas para cada tarjeta de pago a partir de un conjunto inicial de claves, como una IMK

Un módulo de seguridad de hardware (HSM) es un dispositivo físico que protege las operaciones criptográficas (por ejemplo, el cifrado, el descifrado y las firmas digitales), así como las claves subyacentes que se utilizan para estas operaciones.

El valor de comprobación de claves (KCV) se refiere a una variedad de métodos de suma de comprobación que se utilizan principalmente para comparar claves entre sí sin tener acceso al material de las claves propiamente dichas. Los KCV también se han utilizado para validar la integridad (especialmente cuando se intercambian claves), aunque esta función ahora se incluye como parte de los formatos de bloques de claves, como TR-31. En el caso de las claves TDES, el KCV se calcula cifrando 8 bytes, cada uno con un valor igual a cero, con la clave que hay que comprobar y reteniendo los 3 bytes más importantes del resultado cifrado. En el caso de las claves AES, el KCV se calcula mediante un algoritmo CMAC en el que los datos de entrada son 16 bytes de cero y se retienen los 3 bytes de orden superior del resultado cifrado.

Un host de distribución de claves (KDH) es un dispositivo o sistema que envía claves en un proceso de intercambio de claves como el TR-34. Al enviar claves desde AWS Payment Cryptography, se considera KDH.

Un servicio de inyección de claves (KIF) es un servicio seguro que se utiliza para inicializar los terminales de pago e incluso cargarlos con claves de cifrado.

Un dispositivo receptor de claves (KRD) es un dispositivo que recibe claves en un proceso de intercambio de claves como el TR-34. Al enviar claves para la criptografía AWS de pagos, se considera el KRD.

Un número de serie clave (KSN) es un valor que se utiliza como entrada en el cifrado o descifrado DUKPT para crear claves de cifrado únicas por transacción. Por lo general, el KSN consta de un identificador BDK, un identificador de terminal semi-exclusivo y un contador de transacciones que se incrementa con cada transición procesada en un terminal de pago determinado.

El número de cuenta principal (PAN) es un identificador único para una cuenta, como una tarjeta de crédito o débito. Suele tener entre 13 y 19 dígitos. Los primeros 6 a 8 dígitos identifican la red y el banco emisor.

Un bloque de datos que contiene un PIN durante el procesamiento o la transmisión, así como otros elementos de datos. Los formatos de bloque de PIN estandarizan el contenido del bloque de PIN y la forma en que se puede procesar para recuperar el PIN. La mayoría de los bloques de PIN están compuestos por el PIN, la longitud del PIN y, con frecuencia, contienen parte o todo el PAN. AWS La criptografía de pagos es compatible con los formatos ISO 9564-1 0, 1, 3 y 4. El formato 4 es obligatorio para las claves AES. Al verificar o traducir los PIN, es necesario especificar el bloque de PIN de los datos entrantes o salientes.

El punto de interacción (POI), también utilizado con frecuencia como sinónimo de punto de venta (POS), es el dispositivo de hardware con el que el titular de la tarjeta interactúa para presentar su credencial de pago. Un ejemplo de POI es la terminal física de un establecimiento comercial. Para ver la lista de terminales POI PCI PTS certificados, consulte el sitio web de PCI.

El número de secuencia PAN (PSN) es un valor numérico que se utiliza para diferenciar varias tarjetas emitidas con el mismo PAN.

Cuando se utilizan cifrados asimétricos (RSA), la clave pública es el componente público de un par de claves pública-privada. La clave pública se puede compartir y distribuir a entidades que necesitan cifrar datos para el propietario del par de claves público-privado. Para las operaciones de firma digital, la clave pública se utiliza a fin de verificar la firma.

Cuando se utilizan cifrados asimétricos (RSA), la clave privada es el componente privado de un par de claves pública-privada. La clave privada se utiliza para descifrar los datos o crear firmas digitales. Al igual que las claves de criptografía AWS de pago simétricas, los HSM crean claves privadas de forma segura. Solo se descifran en la memoria volátil del HSM y únicamente durante el tiempo necesario para procesar su solicitud criptográfica.

El valor de verificación del PIN (PVV) es un valor derivado algorítmicamente de una serie de entradas, como el número de la tarjeta y el PIN, que genera un valor que se puede utilizar para su posterior validación. Uno de estos esquemas se conoce como Visa PVV (también conocido como método ABA), aunque se utiliza para los PIN de cualquier red.

La envoltura RSA utiliza una clave asimétrica para envolver una clave simétrica (como una clave TDES) para su transmisión a otro sistema. Solo el sistema con la clave privada correspondiente puede descifrar la carga útil y cargar la clave simétrica. Por el contrario, RSA unwrap descifrará de forma segura una clave cifrada con RSA y, a continuación, la cargará en la criptografía de pagos. AWS El empaquetado RSA es un método de bajo nivel para intercambiar claves y no transmite las claves en formato de bloque de claves ni utiliza la firma de carga útil por parte de la parte que las envía. Se deben considerar controles alternativos para determinar la procedencia y comprobar que los atributos clave no están mutados.

El TR-34 también utiliza RSA internamente, pero es un formato independiente y no es interoperable.

TR-31 (definido formalmente como ANSI X9 TR 31) es un formato de bloques clave definido por el Instituto Nacional de Normalización de los Estados Unidos (ANSI) para permitir la definición de los atributos clave en la misma estructura de datos que los propios datos clave. El formato de bloque de teclas TR-31 define un conjunto de atributos clave que están vinculados a la clave para que se mantengan unidos. AWS La criptografía de pagos utiliza términos estandarizados TR-31 siempre que es posible para garantizar una separación y un propósito adecuados de las claves. TR-31 ha sido sustituida por la norma ANSI X9.143-2022.

El TR-34 es una implementación de la norma ANSI X9.24-2 que describe un protocolo para distribuir de forma segura claves simétricas (como el 3DES y el AES) mediante técnicas asimétricas (como el RSA). AWS La criptografía de pagos utiliza los métodos TR-34 para permitir la importación y exportación seguras de las claves.