Hoy haremos mención a un tema bastante importante en el ámbito de los equipos HSM (Host Security Module) como son los llamados comandos Legacy.
Primero que nada, debemos entender que el mundo de los medios de pago es bastante extenso y existen muchas aristas por cubrir.
1.- Normas y regulaciones de las marcas o franquicias (Visa, Master entre otras).
2.- Regulaciones EMV.
3.- Estándar PCI (PCI PIN, PCI DSS, etc) y FIPS.
4.- Desarrollo de switches transaccionales que deben cumplir con las regulaciones.
Los fabricantes de dispositivos criptográficos HSM juegan un papel importante debido a que deben estar a la vanguardia de todas las regulaciones emitidas por los entes oficiales, esto conlleva a que deban desarrollar y realizar los cambios que les permita mantener un constante cumplimiento de todos los estándares y normas mencionados.
Debemos destacar que los comandos Legacy existen para poder soportar aplicaciones obsoletas o en periodo de obsolescencia. Estos comandos, a medida que se actualizan las normas, son sustituidos progresivamente por comandos nuevos (usualmente más genéricos).
Algunos de estos comandos Legacy se ejecutan de forma que no cumplen con las normas PCI; por ejemplo, cuando se realiza la exportación de una llave sin realizar previamente una autenticación de usuario. Sin embargo, esta implementación tiene tanto tiempo siendo utilizada, que aún hoy en día algunas instituciones la mantienen en práctica y, por consiguiente, no ha podido ser eliminada.
Los requerimientos de PCI de la versión 2.0 en adelante sugiere migrar la gestión de llaves para hacer uso del formato de bloques (TR-31 Keyblock), esta es una de las principales motivaciones para que los usuarios migren a comandos más actualizados, ya que los comandos Legacy se han reemplazado y no se actualizarán para usar Keyblock, merece la pena mencionar que tampoco podrán apoyar otras funcionalidades como son: múltiples LMK(1), Llaves AES(2) o ECC(3)
Si bien no hay planes para retirar estos comandos de los equipos HSM. Se recomienda que los aplicativos de software actuales y nuevos utilicen y/o cambien a los comandos más recientes.
Muchos de estos comandos legacy pueden ser reemplazados por sólo unos pocos de los comandos más nuevos. Esto reduce el número de diferentes tipos de comandos que deben ejecutarse. Por ejemplo; el comando “Importación de Llave” puede realizar las mismas funciones de los comandos de “Translate de Llave” en muchas de sus opciones.
Ahora bien, esto se traduce en que para poder mantener los comandos Legacy, los fabricantes proporcionen paquetes de licenciamiento adicionales que representan un costo extra para las instituciones que hacen uso de los mismos. Adicionalmente, es importante tener presente que, eventualmente, los fabricantes pueden decidir eliminarlos por completo en el futuro para mantener las certificaciones requeridas por la industria de pagos.
El servicio HaaS provisto por Tecnocomputación 3000 puede ayudar en la reducción de estos costes porque ofrecemos un servicio respaldado por equipos de última generación de fabricantes reconocidos a nivel mundial, los cuales cuentan con un licenciamiento adicional para soportar la compatibilidad de los comandos legacy, esta bondad permite a las instituciones seguir operando mientras en paralelo, se conectan al ambiente de desarrollo de HaaS para realizar los cambios en sus aplicativos y adecuar su operación a los nuevos comandos.
(1) Local Master Key
(2) (Advanced Encryption Standard)
(3) (Elliptic curve cryptography)