PCI Card Production and Provisioning (PCI CPP) es un marco de seguridad compuesto por la pareja de estándares Physical Security Requirements (PSR) y Logical Security Requirements (LSR) que definen el conjunto de requerimientos para gestionar la seguridad, definir políticas y normativas de seguridad, arquitectura de red, diseño de software y todo tipo de medidas de protección que intervienen en la fabricación y personalización de tarjetas de pago y todos los procesos relacionados.
Su finalidad es la reducción del fraude relacionado con los procesos de fabricación y personalización de las tarjetas de pago e incrementar la seguridad de estos procesos.
PCI CPP es fruto del esfuerzo del PCI Security Standards Council (PCI SSC) para forzar y facilitar a cualquier organización que participe en la fabricación y/o personalización de tarjetas de pago y los procesos asociados mediante la protección de las infraestructuras que fabrican y/o personalizan tarjetas de pago.
Reúne los requerimientos para las entidades que participan en la producción y el suministro de tarjetas, que puede incluir: fabricantes, personalizadores, pre-personalizadores, incrustadores de chips, preparación de datos y cumplimiento.
Los requisitos y procedimientos de seguridad física se deben seguir antes, durante y después de los siguientes procesos:
Además de las actividades de producción de tarjetas que figuran en este estándar, se definen los requerimientos de seguridad física para las entidades que:
- Realizan servicios de aprovisionamiento basados en la nube o en elementos seguros (SE);
- Gestionen la personalización, la gestión del ciclo de vida y la preparación de los datos de personalización; o
- Gestionar las claves criptográficas asociadas.
No se aplica a los proveedores que sólo realizan la distribución de elementos seguros.
Contiene los requerimientos para los sistemas y procesos comerciales relacionados con las actividades de seguridad lógica asociadas a la producción de tarjetas y aprovisionamiento como la preparación de datos, la pre-personalización, la personalización de tarjetas, la generación del PIN, los sobres para el PIN, y los distribuidores de tarjetas deben cumplir con los requisitos de este estándar.
En el estándar se describen los requisitos de seguridad lógica exigidos a las entidades que:
- Realizan servicios de aprovisionamiento basados en la nube o en elementos seguros (SE);
- Gestionen la personalización por aire (OTA), la gestión del ciclo de vida y la preparación de datos de personalización; o
- Gestionar las claves criptográficas asociadas.
No se aplica a los proveedores que sólo realizan la distribución de elementos seguros.
Las fases del proyecto serán las siguientes: