1

Profundizando en el mundo de PCI DSS

Cuando hablamos de estándares en cualquier ámbito de la tecnología, nos referimos no solamente a requisitos o reglas que se deben cumplir, sino también a controles y riesgos que afectan a la seguridad de todos los componentes, tanto software como hardware, que utiliza cualquier sistema de información.

Y como el tema escogido ha sido el estándar PCI DSS, del que llevo hablando durante un tiempo en las entradas de este blog, en este post profundizaré en los controles y procedimientos de dicho estándar:

  • Requisito 1: Instalar y mantener una configuración de firewall que proteja los datos asociados a las tarjetas de crédito.
    • Instalar un firewall para cada conexión a internet (en todos los dispositivos) y entre cualquier DMZ (Desmilitarized Zone) y para cada red interna.
    • Configurar todos los firewalls con una descripción de los grupos responsables de las componentes de la red, justificando cada servicio, protocolo y puerto utilizado.
    • Revisar la configuración del firewall al menos una vez cada seis meses comprobando el cumplimiento de la política de configuración.
    • Configurar los routers de manera que bloqueen las conexiones entre las partes no confiables y los datos asociados a las tarjetas.
    • Asignación de un responsable que compruebe los registros del firewall diariamente.
  • Requisito 2: Cambiar las contraseñas y parámetros de seguridad por defecto que establece el fabricante.
    • Desarrollar estándares de configuración para todos los componentes del sistema que aborden todas las vulnerabilidades y sean consistentes con las definiciones aceptadas por la industria.
    • Mantener un listado de componentes que estén dentro del alcance del PCI DSS.
  • Requisito 3: Protección de los datos asociados a las tarjetas de crédito.
    • Limitar el almacenamiento de datos del titular de la tarjeta y el tiempo de retención de los datos, tal y como se especifica en la política de seguridad.
    • Establecer una máscara PAN (mostrar los seis primeros y los últimos cuatro dígitos del número de cuenta), de modo que solo las personas autorizadas puedan ver el PAN (número de cuenta) completo.
    • Documentar e implementar procedimientos para proteger las claves utilizadas para el cifrado de los datos del titular de la tarjeta.
  • Requisito 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas.
    • Utilizar criptografía robusta y protocolos seguros como TLS, SSH o IPSec para salvaguardar los datos sensibles durante la transmisión de los mismos.
  • Requisito 5: Protección de los sistemas contra malware y actualizar regularmente el software antivirus.
    • Implementar un software antivirus en todos los sistemas que puedan ser afectados por software malintencionado. También se deben realizar evaluaciones periódicas para comprobar la evolución de las amenazadas.
    • Asegurarse de que todos los mecanismos antivirus se mantengan actualizados, realizando exploraciones periódicas y generando registros de auditoría.
  • Requisito 6: Desarrollo y el mantenimiento de sistemas y aplicaciones seguros.
    • Establecer un proceso para identificar vulnerabilidades de seguridad.
    • Proteger todos los componentes del sistema mediante parches de seguridad suministrados por el proveedor en el plazo máximo de un mes desde su lanzamiento.
    • Seguir los procedimientos de control de cambios para todos los cambios en las componentes del sistema.
    • Asegurarse de que todas las aplicaciones web estén protegidas contra ataques conocidos. Realizar una evaluación de la vulnerabilidad de las aplicaciones al menos una vez al año e instalar una solución técnica automatizada que detecte y prevenga de ataques web.
  • Requisito 7: Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa.
    • Limitar el acceso a los componentes del sistema y los datos del titular de la tarjeta.
    • Establecer un sistema de control de acceso para componentes del sistema basado en la necesidad del usuario, que permita mostrar únicamente lo estrictamente necesario.
  • Requisito 8: Identificar y autenticar el acceso a los componentes del sistema.
    • Definir e implementar políticas y procedimientos para asegurar una gestión adecuada de la identificación del usuario. Además, asignar a todos los usuarios, un nombre de usuario único.
    • Implementar autenticación multifactor para todos los accesos remotos.
    • Todo acceso a BD que contenga datos del titular de tarjeta debe estar restringido, salvo a los administradores con permisos específicos.
  • Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta.
    • Utilizar controles de entrada a las instalaciones para limitar y monitorear el acceso físico.
    • Distinguir fácilmente entre personal y visitantes.
    • Asegurarse de que todos los visitantes están autorizados a antes de entrar en áreas sensibles. Además, utilizar un registro de visitantes y conservar dicho registro por lo menos durante tres meses.
    • Almacenar las copias de seguridad de medios en un lugar seguro.
    • Proteger los dispositivos que capturan los datos de la tarjeta a través de interacción física.
  • Requisito 10: Rastrear y supervisar todos los accesos a los recursos de red y a los datos del titular de la tarjeta.
    • Implementar pistas de auditoría automatizadas para los componentes del sistema.
    • Registrar toda la información recopilada tras el proceso de auditoría.
    • Implementar controles para adquirir, distribuir y almacenar los tiempos críticos del sistema.
    • Revisar todos los registros y eventos de seguridad para identificar anomalías.
  • Requisito 11: Probar con regularidad los sistemas y procesos de seguridad.
    • Implementar procesos para probar la presencia de puntos de acceso inalámbricos no autorizados.
    • Ejecutar exploraciones de vulnerabilidades de red interna y externa trimestralmente y después de cada cambio en la red.
    • Utilizar técnicas de detección de intrusiones en la red o prevención.
    • Implementar un mecanismo de detección de cambios.
  • Requisito 12: Mantener una política que aborde la seguridad de la información para todo el personal.
    • Establecer, publicar, mantener y difundir una política de seguridad y revisarla anualmente.
    • Implementar un proceso de evaluación de riesgos que se lleve a cabo una vez al año.
    • Asegurar que la política y procedimientos de seguridad definen claramente las responsabilidades de seguridad.

Cada uno de los requerimientos tiene varios controles y procedimientos asociados, mediante los cuales, y a través de la auditoría de QSA, una empresa puede obtener la certificación PCI DSS de Nivel 1 acorde con la versión 3.2. Aplicando adecuadamente cada control y verificando su aplicación periódicamente, se puede conseguir cierto nivel de seguridad en relación a los datos de los titulares asociados a cada tarjeta, ofreciendo confianza al consumidor y contribuyendo al crecimiento del estándar.


 

Referencias

PCI DSS Quick Reference Guide: https://www.pcisecuritystandards.org/documents/PCIDSS_QRGv3_1.pdf

«A Guide to PCI DSS 3.2 Compilance: A Dos and Don’ts Checklist»: https://blog.varonis.com/a-guide-to-pci-dss-3-2-compliance-a-dos-and-donts-checklist/

Norma de seguridad de datos: Requisitos y procedimientos de evaluación de seguridad Version 3.2: https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2_3_es-LA.pdf