ISO 27001 y futuro de PCI DSS

Download PDF

Como todo en la vida tiene su fin, este es el último Post relacionado con PCI DSS. La verdad es que la experiencia ha sido positiva. ¿Y de qué voy a hablar hoy? Bueno ahora lo comprobareis.

En primer lugar, me gustaría realizar una comparativa entre dos estándares que comparten muchas similitudes y ciertas diferencias. Uno de ellos está claro, se trata de PCI DSS, ¿pero cuál es el otro?, pues ni más ni menos que la ISO 27001. Empezamos viendo alguna diferencia en su definición.

PCI DSS es un estándar aplicado únicamente a la seguridad de los datos de las tarjetas de crédito, y es únicamente aplicable a las compañías que procesas, almacenan y transmiten estos datos. Además, este estándar es de obligatorio cumplimiento en función del volumen de transacciones efectuadas. En cambio, ISO 27001 es un estándar internacionalmente reconocido, que regula el establecimiento de sistemas de gestión de la seguridad de la información. Es decir, puede ser aplicado en cualquier organización, y su implementación es opcional, por lo que no es obligatorio [1].

Como he comentado en Posts anteriores, PCI DSS está compuesto por 12 requerimientos fundamentales. ISO 27001 aborda siete grandes áreas: organización, liderazgo, planificación, soporte, operación, evaluación y mejora. Además, PCI cuenta con cuatro niveles de certificación, en función del número de transacciones de la compañía. En la Tabla 1 podemos ver como cada uno de los requerimientos de PCI DSS se relaciona con algunas cláusulas de la ISO.

Tabla 1: Mapeo entre los requerimientos PCI DSS y las cláusulas de ISO 27001.

Y es que estos dos estándares son perfectamente compatibles y se pueden implementar en cualquier compañía. De hecho, ISO 27001 ofrece mayor flexibilidad debido a que posee controles de alto nivel, de manera que muchas compañías se decantan por implantar ISO 27001 si no operan específicamente con datos de tarjetas de crédito. Si además comparamos los costes de implantación de ambos estándares, ISO 27001 supone de media unos 150 mil dólares, en cambio PCI DSS puede suponer un gasto de hasta 700 mil dólares. Y no solo eso, los plazos de auditoría son diferentes para cada estándar. Para renovar la certificación de ISO 27001 se elabora una auditoría cada 3 años, aunque anualmente se elaboran pequeñas auditorias de seguimiento. En el caso de PCI, para cumplir el nivel más alto de certificación, se elabora una auditoria anualmente para renovarla, y trimestralmente una auditoría de escaneo de la red [2].

Y el futuro ¿Qué nos deparará? ¿Se seguirán utilizando las tarjetas de crédito o utilizaremos otros medios de pago? Bueno realmente el futuro es muy difuso. En los últimos 50 años se ha generado una tendencia a desplazar el dinero en efectivo, tomando cada vez más relevancia el uso de las tarjetas de crédito. Con el inicio de la nueva era digital y la aparición del e-commerce, han surgido nuevas formas de pago como el pago móvil o tecnologías como Bitcoin, que a su vez pueden ir desplazando el uso de las tarjetas. A pesar de ello, los expertos sugieren que el uso de las tarjetas continuaría a corto plazo, ya que los pagos denominados pequeños, por ejemplo, una consumición en un bar, se hacen cada vez más por medio de tarjetas y móviles, en lugar de dinero en efectivo. A largo plazo podría cambiar esta tendencia, ya que el sector de pagos móviles empieza a tener mayor peso. A sí mismo, los clientes que necesitan crédito para financiar sus compras pueden recurrir a las soluciones de préstamo que empiezan a ofrecer los puntos de venta, de manera que no solo los usuarios, sino que también los comerciantes salen beneficiados, para aumentar la escala de su negocio y acceder a nuevas fuentes de ingresos en forma de interés.

Todas estas innovaciones pueden erosionar los volúmenes de tarjetas de crédito, amenazando a los modelos de negocio. Es por ello que el estándar PCI DSS deberá seguir fiel a sus principios de evolución, y adaptarse a las nuevas formas de pago. Por ello veo necesario que no solamente abarque procedimientos y requerimientos exclusivos de manejo de datos de tarjetas de crédito. Creo que debería abarcar las nuevas posibilidades existentes, ya que existe la posibilidad de que los nuevos medios de pago sustituyan a las tarjetas de crédito, de manera que dicho estándar dejará de tener sentido. Es más, en ese escenario, la ISO 27001 probablemente tenga mucho más sentido aplicarla, porque al tratarse de un estándar más genérico, en cuanto a que no trata específicamente del manejo de datos de tarjetas de pago, y de más alto nivel, las posibilidades de adaptación a los nuevos tiempos son mucho más sencillas que para PCI DSS, además de que es más sencilla su implantación y más barata [3].

Pero bueno en el futuro iremos viendo lo que sucede y cómo evoluciona PCI DSS, del que esperemos siga siendo un estándar de referencia en el mundo de los medios de pago. Y como decía el famoso periodista y presentador Luis Mariñas, “Así son las cosas y así se las hemos contado”.


Referencias

[1] “Planning for and Implementing ISO 27001”: http://www.isaca.org/Journal/archives/2011/Volume-4/Pages/Planning-for-and-Implementing-ISO27001.aspx

[2] “ISACA Journal edición Enero/Febrero 2016”: http://www.isacajournal-digital.org/isacajournal/2016_volume_1?folio=51&pg=53#pg53

[3] “The future of PCI” : http://www.sfgnetwork.com/blog/payment-processing/the-future-of-pci/

Profundizando en el mundo de PCI DSS

Download PDF

Cuando hablamos de estándares en cualquier ámbito de la tecnología, nos referimos no solamente a requisitos o reglas que se deben cumplir, sino también a controles y riesgos que afectan a la seguridad de todos los componentes, tanto software como hardware, que utiliza cualquier sistema de información.

Y como el tema escogido ha sido el estándar PCI DSS, del que llevo hablando durante un tiempo en las entradas de este blog, en este post profundizaré en los controles y procedimientos de dicho estándar:

  • Requisito 1: Instalar y mantener una configuración de firewall que proteja los datos asociados a las tarjetas de crédito.
    • Instalar un firewall para cada conexión a internet (en todos los dispositivos) y entre cualquier DMZ (Desmilitarized Zone) y para cada red interna.
    • Configurar todos los firewalls con una descripción de los grupos responsables de las componentes de la red, justificando cada servicio, protocolo y puerto utilizado.
    • Revisar la configuración del firewall al menos una vez cada seis meses comprobando el cumplimiento de la política de configuración.
    • Configurar los routers de manera que bloqueen las conexiones entre las partes no confiables y los datos asociados a las tarjetas.
    • Asignación de un responsable que compruebe los registros del firewall diariamente.
  • Requisito 2: Cambiar las contraseñas y parámetros de seguridad por defecto que establece el fabricante.
    • Desarrollar estándares de configuración para todos los componentes del sistema que aborden todas las vulnerabilidades y sean consistentes con las definiciones aceptadas por la industria.
    • Mantener un listado de componentes que estén dentro del alcance del PCI DSS.
  • Requisito 3: Protección de los datos asociados a las tarjetas de crédito.
    • Limitar el almacenamiento de datos del titular de la tarjeta y el tiempo de retención de los datos, tal y como se especifica en la política de seguridad.
    • Establecer una máscara PAN (mostrar los seis primeros y los últimos cuatro dígitos del número de cuenta), de modo que solo las personas autorizadas puedan ver el PAN (número de cuenta) completo.
    • Documentar e implementar procedimientos para proteger las claves utilizadas para el cifrado de los datos del titular de la tarjeta.
  • Requisito 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas.
    • Utilizar criptografía robusta y protocolos seguros como TLS, SSH o IPSec para salvaguardar los datos sensibles durante la transmisión de los mismos.
  • Requisito 5: Protección de los sistemas contra malware y actualizar regularmente el software antivirus.
    • Implementar un software antivirus en todos los sistemas que puedan ser afectados por software malintencionado. También se deben realizar evaluaciones periódicas para comprobar la evolución de las amenazadas.
    • Asegurarse de que todos los mecanismos antivirus se mantengan actualizados, realizando exploraciones periódicas y generando registros de auditoría.
  • Requisito 6: Desarrollo y el mantenimiento de sistemas y aplicaciones seguros.
    • Establecer un proceso para identificar vulnerabilidades de seguridad.
    • Proteger todos los componentes del sistema mediante parches de seguridad suministrados por el proveedor en el plazo máximo de un mes desde su lanzamiento.
    • Seguir los procedimientos de control de cambios para todos los cambios en las componentes del sistema.
    • Asegurarse de que todas las aplicaciones web estén protegidas contra ataques conocidos. Realizar una evaluación de la vulnerabilidad de las aplicaciones al menos una vez al año e instalar una solución técnica automatizada que detecte y prevenga de ataques web.
  • Requisito 7: Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa.
    • Limitar el acceso a los componentes del sistema y los datos del titular de la tarjeta.
    • Establecer un sistema de control de acceso para componentes del sistema basado en la necesidad del usuario, que permita mostrar únicamente lo estrictamente necesario.
  • Requisito 8: Identificar y autenticar el acceso a los componentes del sistema.
    • Definir e implementar políticas y procedimientos para asegurar una gestión adecuada de la identificación del usuario. Además, asignar a todos los usuarios, un nombre de usuario único.
    • Implementar autenticación multifactor para todos los accesos remotos.
    • Todo acceso a BD que contenga datos del titular de tarjeta debe estar restringido, salvo a los administradores con permisos específicos.
  • Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta.
    • Utilizar controles de entrada a las instalaciones para limitar y monitorear el acceso físico.
    • Distinguir fácilmente entre personal y visitantes.
    • Asegurarse de que todos los visitantes están autorizados a antes de entrar en áreas sensibles. Además, utilizar un registro de visitantes y conservar dicho registro por lo menos durante tres meses.
    • Almacenar las copias de seguridad de medios en un lugar seguro.
    • Proteger los dispositivos que capturan los datos de la tarjeta a través de interacción física.
  • Requisito 10: Rastrear y supervisar todos los accesos a los recursos de red y a los datos del titular de la tarjeta.
    • Implementar pistas de auditoría automatizadas para los componentes del sistema.
    • Registrar toda la información recopilada tras el proceso de auditoría.
    • Implementar controles para adquirir, distribuir y almacenar los tiempos críticos del sistema.
    • Revisar todos los registros y eventos de seguridad para identificar anomalías.
  • Requisito 11: Probar con regularidad los sistemas y procesos de seguridad.
    • Implementar procesos para probar la presencia de puntos de acceso inalámbricos no autorizados.
    • Ejecutar exploraciones de vulnerabilidades de red interna y externa trimestralmente y después de cada cambio en la red.
    • Utilizar técnicas de detección de intrusiones en la red o prevención.
    • Implementar un mecanismo de detección de cambios.
  • Requisito 12: Mantener una política que aborde la seguridad de la información para todo el personal.
    • Establecer, publicar, mantener y difundir una política de seguridad y revisarla anualmente.
    • Implementar un proceso de evaluación de riesgos que se lleve a cabo una vez al año.
    • Asegurar que la política y procedimientos de seguridad definen claramente las responsabilidades de seguridad.

Cada uno de los requerimientos tiene varios controles y procedimientos asociados, mediante los cuales, y a través de la auditoría de QSA, una empresa puede obtener la certificación PCI DSS de Nivel 1 acorde con la versión 3.2. Aplicando adecuadamente cada control y verificando su aplicación periódicamente, se puede conseguir cierto nivel de seguridad en relación a los datos de los titulares asociados a cada tarjeta, ofreciendo confianza al consumidor y contribuyendo al crecimiento del estándar.


 

Referencias

PCI DSS Quick Reference Guide: https://www.pcisecuritystandards.org/documents/PCIDSS_QRGv3_1.pdf

“A Guide to PCI DSS 3.2 Compilance: A Dos and Don’ts Checklist”: https://blog.varonis.com/a-guide-to-pci-dss-3-2-compliance-a-dos-and-donts-checklist/

Norma de seguridad de datos: Requisitos y procedimientos de evaluación de seguridad Version 3.2: https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2_3_es-LA.pdf

 

El estándar PCI DSS más cercano

Download PDF

En mi anterior post, nombré algunas empresas extranjeras que habían aplicado el estándar PCI DSS y además, en algunos casos, habían sufrido ataques en sus sistemas de pago dejando en entredicho la eficacia del estándar. Pero ahora nos preguntamos, ¿realmente se utiliza este estándar en España? ¿Y qué empresas lo utilizan? Vamos a ver algunos ejemplos de aplicación más cercanos a nosotros.

A nivel nacional, la empresa Claranet fue pionera en España en obtener la certificación PCI DSS 3.0 de Nivel 1, en el año 2014. Esta empresa creada en el año 1996, es un proveedor de servicios cloud, hosting y redes para empresas de sectores como viajes, ocio, educación, logística, marketing y e-commerce. Dicha certificación la consiguió, gracias al cumplimiento de los requisitos 9 y 12 del estándar, los asociados a la seguridad de acceso físico y al mantenimiento de una política de seguridad de la información [1].

Posteriormente otras empresas nacionales han ido adquiriendo la certificación de dicho estándar. Telefónica en el año 2009, Ia distribuidora de servicios hoteleros Idiso en el año 2010 [2] o la plataforma de pagos NetPlus de Indra en el 2014 [3] son ejemplos de empresas que han conseguido la certificación PCI DSS en nuestro país.

A pesar de que obtener la certificación PCI DSS pueda ser un punto a favor de la empresa, con respecto a la confianza de sus actuales y potenciales clientes, no todas las certificaciones se hacen públicas. VISA es la marca que mantiene la lista de empresas proveedores de servicios certificadas. En el caso de los comercios, no existe ninguna lista pública de empresas auditadas y solo reciben petición de sus ROC (Report On Compilance) por parte de las entidades adquirientes.

¿Y cómo se cumple con la normativa PCI DSS? ¿Qué requisitos definen el nivel de seguridad apropiado para cada empresa? Esta distinción ser realiza en función del volumen de transacciones y el modo de procesamiento de la información de las mismas. Vamos a comentar los niveles superficialmente:

  • Nivel 1: Dos distinciones. La primera, si se ha sufrido un ataque en el que se han comprometido los datos de las tarjetas; la segunda, si se superan un determinado número de transacciones en función del proveedor: más de 6 millones de transacciones VISA, MASTER o DISCOVER, más de 2,5 millones de transacciones AMEX o más de 1 millón de transacciones JCB. Además, es obligatorio someterse a una auditoría anual realizada por un QSA que elaborará un ROC para remitir al proveedor de tarjetas.
  • Nivel 2: Entre 1 y 6 millones de transacciones VISA, MASTER o DISCOVER, entre 50000 y 2,5 millones de transacciones AMEX o menos de 1 millón de transacciones JCB. Si se cumple este nivel, no es obligatorio someterse a una auditoría, aunque es necesario responder un cuestionario de evaluación SAQ (Self-Assessment Questionnaire).
  • Nivel 3:  Entre 20000 y 1 millón de transacciones VISA, MASTER o DISCOVER o menos de 50000 transacciones AMEX.
  • Nivel 4: El único requisito es rellenar el SAQ, aunque es recomendable realizar un escaneo trimestral de red para asegurar el nivel de seguridad [4].

¿Pero quién certifica realmente el cumplimiento del estándar? En otras palabras, ¿Quién o qué empresas son QSA en España? Desde la página oficial de PCI DSS, nos ofrecen una lista de todas las entidades que ofrecen este servicio y son válidas [5]. La primera empresa española en conseguir esta homologación fue Internet Security Auditors. A ella se le suman las siguientes:

  • A2 Secure.
  • Atos Consulting.
  • Internet Security Systems.
  • S21SEC Gestion.
  • SIA Grupo.
  • Verizon/CyberTrust.

Otra empresa homologada y reseñable, principalmente por su proximidad, sería ITS (Integrated Technology Systems), una empresa consultora y auditora situada en Mendaro, Guipúzcoa.

Un ejemplo reciente de renovación de la certificación PCI DSS, es la empresa Sipay Plus. Está empresa española de pasarela de pagos, ha obtenido hace apenas dos meses y por tercera vez consecutiva, la certificación de Nivel 1 de la última versión de PCI DSS, la versión 3.2. La auditoría que se le aplicó, fue llevada a cabo por A2 Secure, convirtiéndo de esta manera a Sipay Plus, en la primera empresa española de pasarela de pagos en obtener el máximo cumplimiento en materia de seguridad, en todas sus soluciones.

En conclusión, como podemos ver, existen evidencias de que el estándar PCI DSS se está aplicando en un ámbito más cercano a nosotros. En nuestro país existen tanto empresas que han sido certificadas por el cumplimiento del estándar, como empresas que juegan el papel de QSA y auditan y certifican a las anteriores. Por lo que, las empresas españolas están al día en cuanto a la aplicación y cumplimiento del estándar PCI DSS relativo a la seguridad de los datos asociados a tarjetas de crédito.


 

Referencias

[1] “Claranet obtiene la certificación PCI DSS 3.0 como proveedor de hosting y colocation”: https://www.claranet.es/about/news/proveedor-hosting-colocation-pci-dss-3-compliant.html

[2] “Idiso obtiene la Certificacion PCI DSS” : http://www.idiso.com/es/idiso-obtiene-la-certificacion-pci-dss.html

[3] “Indra obtiene la certificación de seguridad PCI DSS”: http://www.europapress.es/portaltic/empresas/noticia-indra-obtiene-certificacion-seguridad-pci-dss-20140312155253.html

[4] “¿Esta tu negocio preparado para cumplir la normativa PCI DSS?” : http://innovation.es/pci-dss/

[5] Qualified Security Assesors : https://www.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors

La realidad de PCI DSS

Download PDF

Continuando con la idea del anterior Post, me parece apropiado tratar la realidad de los estándares, en mi caso PCI DSS (Payment Card Industry Data Security Standard). Como todo estándar, y PCI DSS no es una excepción, define un conjunto de normas o directrices que definen aspectos de un área determinada. Pero indudablemente un estándar no es una ley que, si se aplica, se debe cumplir y si no habrá sanciones o multas. Para nada, simplemente son recomendaciones.

En líneas generales la normativa que rige PCI DSS está basada en los siguientes aspectos [1]:

  • Desarrollar y mantener una red segura, instalando y una configuración de firewall para proteger los datos del titular de la tarjeta y utilizando contraseñas de sistemas y otros parámetros de seguridad diferentes a los utilizados por defecto por los proveedores.
  • Proteger los datos del titular de la tarjeta de crédito, mediante el cifrado durante la transmisión de los mismos a través de redes públicas abiertas.
  • Mantener un programa de administración de vulnerabilidad, gracias a software antivirus y el desarrollo de código seguro para las aplicaciones.
  • Implementar medidas solidas de control de acceso, a través de restricciones de acceso a los datos según la necesidad de la empresa y asignando un ID exclusivo a cada persona que tenga acceso mediante un ordenador, además de restringir el acceso físico.
  • Supervisar y evaluar las redes con regularidad, mediante el rastreo y supervisión de todos los accesos a los recursos de la red y los datos.
  • Mantener una política de seguridad de la información.


Cada empresa que utiliza datos relacionados con las tarjetas de pago, es importante que siga las líneas generales del estándar PCI DSS, ya que, en gran manera, le garantiza cierto nivel de seguridad. De hecho, está comprobado, que las empresas que cumplen con PCI DSS, han conseguido minimizar en un porcentaje alto, el riesgo de pérdida o robo de los datos. Y no solo eso, sino que, cumplir con el estándar y que el QSA (Qualified Security Assessors) verifique dicho cumplimiento, proporciona cierto nivel de reputación a la empresa y la convierte en una compañía de confianza para los consumidores.

Un ejemplo reciente de empresa que cumple con PCI DSS es BlackMesh, que obtuvo el nivel 1 de certificación en el año 2015. Para las compañías que cumplen con el estándar, reunir los requisitos mínimos para obtener esta certificación, valida la seguridad de los procesos de pago de los sistemas e incrementa la protección de los datos de los titulares de las tarjetas [2].

En cambio, casos como el de la compañía Home Depot son muy significativos. Esta compañía, en el año 2014, fue víctima de un ciberataque, que permitió el acceso a datos de tarjetas de pago de 50 millones de usuarios de su sistema y que le supuso unas pérdidas de 19 millones de dólares [3]. Lo más llamativo de este caso, es que esta empresa cumplía con el estándar PCI DSS y tras el ataque, se comprometió a mejorar la seguridad de sus datos durante un periodo de dos años y a contratar a un especialista en seguridad, encargado de supervisar dichas mejoras.

Situaciones como la de Home Depot produce una sensación de vulnerabilidad en el resto de empresas que están cumpliendo el estándar y puede generar cierta alarma y confusión sobre cómo se están haciendo las cosas. Y, por consiguiente, son muchos los detractores y críticos que se pronuncian en contra del estándar. La mayoría de ellos opinan que, desde su creación, el estándar está orientado a la protección tanto de bancos como de proveedores de tarjetas de pago, de la responsabilidad que cae sobre ellos ante la pérdida o robo de los datos, dejando de lado a los comerciantes, que son los que realmente tiene que afrontar la situación. Una noticia de apenas 15 días, anunciaba que el proveedor de telas Vera Bradley, había sufrido un ataque en sus sistemas de pago, y algo muy significativo, la empresa no contaba con los mecanismos de detección apropiados y fue el FBI quien descubrió el problema y lo comunicó a la empresa [4].

Tal y como indican los expertos, los ataques no se hacen sobre un solo sistema, sino que se realizan en serie sobre múltiples vendedores, haciendo más difícil su detección. Además, cualquier punto en el ecosistema de pagos esta potencialmente en riesgo. Y es que sea cual sea el tamaño de la compañía, desde un minorista hasta grandes compañías están en riesgo. Podemos añadir más casos significativos a los anteriores, como los ataques a la cadena de comida rápida Wendy, al minorista de ropa Eddie Bauer y las cadenas de hoteles Hilton, Trump, Hutton, etc.

Por ello cada versión mejorada del estándar, en cierta manera es un alivio. Por ejemplo, en su última versión, se introdujo una novedad importante, como es la autenticación multifactor para cualquier usuario con permisos de administración de datos asociados a tarjetas, algo ya demandado por algunos expertos en seguridad. En versiones anteriores, este tipo de autenticación era necesaria únicamente en el acceso remoto a los datos, por lo que la seguridad de acceso no era la más apropiada [5].

El CTO de PCI SSC, Troy Leach, señala “El funcionamiento del estándar, siempre está acorde con los nuevos requerimientos en seguridad”. La evolución del estándar es muy sencilla: cada nuevo requisito definido, primeramente, se introduce como una buena práctica, de manera que las empresas se pueden ir preparando para adaptarse al cambio, y posteriormente, en la siguiente versión ya se introduce como una norma [5 bis].

En conclusión, sabemos que el estándar PCI DSS ayuda a las empresas a mantener los datos de los titulares de tarjetas de pago seguros y que obtener una certificación de su uso y aplicación, otorga cierto nivel de confianza por parte del consumidor, pero que desde luego casos como el de Home Depot, nos abren los ojos y nos hacen darnos cuenta de que nunca es suficiente, y que incluso los estándares no contemplan todas las posibilidades y riesgos que existen en los sistemas.


 

Referencias

[1] PCI DSS v3.0 Normas de seguridad de datos: https://es.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/en/docs/PCI_DSS_v3.pdf

[2] “BlackMesh Achieves PCI DSS Level 1 Certification”: http://search.proquest.com/docview/1735954442?OpenUrlRefId=info:xri/sid:primo&accountid=14529

[3] “Home Depot settels consumer lawsuit over big 2014 data breach” (Océano): http://www.reuters.com/article/us-home-depot-breach-settlement-idUSKCN0WA24Z

[4] “Retailed Vera Bradley: Payments System Hacked”: http://www.databreachtoday.com/retailer-vera-bradley-payments-system-hacked-a-9449

[5] “PCI DSS 3.2: The evolution continues”: http://www.csoonline.com/article/3083106/data-protection/pci-dss-3-2-the-evolution-continues.html

PCI DSS: Un aliado frente al ciberfraude

Download PDF

¿Cómo es posible que estés en tu casa y puedas reservar un hotel en la playa sin levantarte del sofá? ¿Cómo puedo ver el catálogo de productos de una marca de ropa y comprar un artículo introduciendo simplemente los datos de la tarjeta y sin firmar ningún resguardo? Son cuestiones que se plantean las personas mayores, como nuestros abuelos o incluso nuestros padres, que desconocen el mundo de la informática o que tienen nociones muy básicas sobre ella. No es sencillo explicárselo y que lo entiendan, pero pueden vivir sin comprenderlo, aunque ven el mundo tecnológico con cierta desconfianza, sobre todo a la hora de facilitar algunos datos personales necesarios en situaciones determinadas que los requieren, como por ejemplo, los datos asociados a sus tarjetas de pago en compras por Internet.

Desde los inicios de la humanidad, las personas se han visto obligadas a establecer relaciones económicas entre ellas para poder satisfacer sus necesidades básicas. Primero fue el trueque o intercambio de productos. Siglos más tarde llegó la moneda y el valor del dinero, y posteriormente mecanismos de pago más modernos como las tarjetas de crédito y débito. Con la llegada de Internet y de los ordenadores personales, primero las grandes multinacionales y después las pequeñas y medianas empresas, vieron la necesidad de anunciarse y promocionarse a través de ella. Poco después el comercio electrónico, las redes sociales, las comunicaciones móviles, los teléfonos inteligentes, etc, lo han vuelto a cambiar todo y se ha generado un abanico de posibilidades inimaginable hace unos pocos años.

Pero todo tiene su parte negativa. Los delincuentes han sabido adaptarse a los nuevos tiempos. Los primeros sistemas de pago conectados a Internet e implantados en tiendas virtuales eran muy básicos y sus mecanismos de seguridad muy precarios. Esta situación fue aprovechada por los ciberdelincuentes para apropiarse de millones de datos asociados a las tarjetas de pago con las que se habían efectuado transacciones. Dicho fraude supuso enormes pérdidas para las principales compañías que daban soporte a dichos sistemas de pago. Por lo que en el año 2006 Visa, MasterCard, American Express, Discover y JCB International formaron un comité denominado PCI SSC (Payment Card Industry Security Standards Council) para abordar el problema y definir una guía que ayudara a las organizaciones que procesan, almacenan y transmiten datos asociados a tarjetas de pago, con el fin de asegurar dichos datos y evitar los fraudes. Dichas directrices se aplicarían a todas las entidades involucradas en el procesamiento de las tarjetas de pago, incluyendo comerciantes, procesadores, adquirientes, emisores y proveedores de servicios. Fruto de estas directrices se definió la primera versión del estándar PCI DSS (Payment Card Industry Data Security Standard).

De acuerdo con el Privacy Rights Clearinghouse, más de 234 millones de registros con información sensible, han sido violados desde enero de 2005. El almacenamiento de datos sensibles sin las medidas de seguridad oportunas, expone a las empresas en mayor medida al fraude y a la piratería, de manera que aumenta el riesgo de tener que pagar miles de euros en daños y perjuicios al titular de la tarjeta afectado. Cumpliendo con el estándar PCI DSS, las empresas pueden disminuir en cierta medida dicho riesgo.

El PCI SSC cuenta con auditores autorizados conocidos como QSA (Qualified Security Assessor) que son los encargados de verificar periódicamente el cumplimiento del estándar PCI DSS por parte de las empresas que gestionan datos relacionados con las tarjetas de pago.

A lo largo de varios años, el PCI SSC ha hecho un trabajo encomiable en la definición y evolución de un conjunto coherente de normas, así como escuchar y adaptarse con el tiempo al feedback aportado por los comerciantes, bancos, proveedores de servicio y proveedores de tecnología” señala Derek Brink, vicepresidente de la compañía Aberdeen Group. Y seguramente tenga razón ya que, durante los últimos 10 años, dicho comité ha sabido adaptarse a los nuevos tiempos. De hecho, actualmente el estándar PCI DSS se encuentra en su versión 3.2 y continúa recibiendo actualizaciones.

La aplicación del estándar PCI DSS se trata de un proceso continuo de mejora en el que: primero se evalúan todos los procesos de negocio para analizar posibles vulnerabilidades que podrían exponer los datos de los titulares de las tarjetas; segundo, se presentan los registros de validación e informes de conformidad al banco adquiriente y a la compañía de tarjetas involucrada y finalmente se resuelven las vulnerabilidades y no se almacenan los datos de los titulares de la tarjeta a no ser que sea necesario.

Algunas empresas piensan el PCI DSS es un estándar difícil de aplicar y que requiere un esfuerzo enorme. Pero si se hace el ejercicio mental de imaginar cuáles podrían ser los daños directos y colaterales en caso de robo y/o pérdida de los datos de tarjetas confiados por clientes a una organización,  la posición y opinión respecto al estándar varía. Por otro lado, muchos comercios y proveedores de servicio grandes, medianos y pequeños han implementado de forma satisfactoria el estándar. En algunos de ellos probablemente la complejidad técnica sea más alta que la existente en su organización, pero aún así han realizado un análisis coste/beneficio y se han dado cuenta que es mejor implementar el estándar, que arriesgarse a perder su buena reputación y enfrentarse a multas y acciones legales.

Para concluir con este post me gustaría señalar que, a pesar de todas las medidas que se aplican para mejorar la seguridad en Internet y la legislación tan estricta que existe, lo que realmente suele suceder, es que los ciberdelincuentes siempre van un paso por delante. Con esto no quiero decir que robar datos sensibles y saltarse las leyes sea una tarea sencilla, y que los estándares y las medidas tomadas no sirven para nada. Todo lo contrario, la aplicación de estándares como el PCI DSS, en un ámbito tan sensible como los datos correspondientes a las tarjetas de pago, reduce las vulnerabilidades y riesgos de los sistemas que los gestionan, pero tampoco garantiza la total protección de los datos y correspondientemente de los usuarios, que son los que realmente sufren las consecuencias.

 

Referencias

Coste de la brecha de seguridad en Target y opiniones

Download PDF

Según Target, la brecha de datos costó 252 millones de dólares, de los cuales 90 fueron reembolsados por su seguro y se pudo deducir otros 57 en impuestos (porque sí, las brechas de seguridad son deducibles). De este modo, el coste total para la compañía fue de 105 millones de dólares, el 0,1% de sus ventas. 

Sin embargo, este coste podría haber sido inferior, ya que cuando salió por primera vez la norma PCI, Visa y MasterCard la utilizaban para dar a los comerciantes un ‘puerto seguro’ de sanciones en caso de incumplimiento, cuando el comerciante atacado era compatible con PCI.  Pero eliminaron ese ‘puerto seguro’ justo después de la primera gran brecha. Además,  Visa originalmente dijo que los comerciantes, que  cumplían con el estándar en el momento en el que sufrieron la fuga de datos confidenciales, estaban exentos de pagar una multa a Visa. Sin embargo, han suavizado la norma indicando que determinarán en cada caso, bajo su opinión, si se imponen multas al comercio afectado. Por ejemplo, Target ha llegado ha un acuerdo con Visa, por el cual se compromete a pagar una multa de hasta 67 millones de dólares dependiendo del número de afectados.

Según Gartner, la norma no se ha mantenido al día con las últimas noticias de ataques y, por ejemplo, ninguna de las aplicaciones anti-malware convencionales que existen en el mercado hoy en día buscan el software malicioso que atacó a Target. Por lo tanto, consideran que es rotundamente equivocado culpar de todo lo sucedido a Target o a cualquier otra entidad que haya sufrido una brecha. Debido a esto, los bancos emisores de tarjetas y la industria de las tarjetas (Visa. MasterCard, Amex, Discover) comparten la responsabilidad por no hacer más para prevenir las debacles que previsiblemente se han producido en los últimos nueve años, cuando comenzaron las primeras grandes brechas.

Venturebeat también añade que los estándares de seguridad de PCI solo consideran el cuidado de los datos en reposo, porque, en 2004, cuando se crearon las normas, el robo de los datos en reposo era el método más fácil y Desde entonces, las aplicaciones de punto de venta y de pago almacenan y abandonan enormes cantidades de registros de datos no cifrados en cada disco duro. Las normas PCI permiten el tratamiento de los datos en texto claro en la RAM de la máquina del punto de venta , así como la transmisión de los datos de las tarjetas sin cifrar a través de las redes locales

Análisis del ataque a Target

Download PDF

Como se puede comprobar con una lectura rápida de mi anterior post, durante el ataque a Target se cometieron varios errores que concedieron una oportunidad a los hackers para acceder al sistema y robar los datos. Sin embargo ¿cuáles de ellos habrían sido evitados si realmente Target hubiese cumplido con los requisitos de la PCI DSS?

  1. En el punto 1.2 de la regulación PCI DSS se especifica “Construir configuraciones de firewall y router de manera que restringan las conexiones entre redes no confiables y cualquier componente del sistema en el entorno de datos de titulares de tarjetas”, siendo una red no confiable aquella que “la empresa no puede controlar ni gestionar”. Sin embargo, en el sistema de Target entraron a través de la red de un proveedor, que en un principio no tenía acceso al entorno de las tarjetas, pero dicha separación no existía.
  2. En el punto 8.3 se recomienda “Incorporar dos de los tres factores de autentificación ( algo que se sabe (contraseña), algo que se tiene (una tarjeta) y algo que se es (escáner de retina)) para el acceso remoto a la red procedente de fuera de la red”. En el caso de Target, con un simple robo de la contraseña, valió para acceder a la red.
  3. En el punto 11.4 se recomienda “Utilizar técnica de detección de intrusos y/o de prevención de intrusiones para detectar y/o prevenir las intrusiones en la red” y en el punto 5.1.1 se habla de “Asegurar que los antivirus son capaces de detectar, eliminar y proteger el sistema contra todos los tipo de software maliciosos conocidos”. Estos dos casos, si se cumplían en la brecha de Target, ya que el antivirus y el software de FireEye enviaron varias alertas; aunque el eliminado automática estaba desactivado, práctica habitual en las empresas ya que prefieren que las personas analicen el archivo infectado antes de su eliminación, por si fuese simplemente un error.
  4. En el punto 10.6 se especifica “ Revisar los logs y los eventos de seguridad de los componentes del sistema para detectar e identificar cualquier tipo de anomalía o actividad sospechosas” En Target no se cumplió este requisito ya que si ignoraron todas las alertas recibidas y no se analizaron para detectar software malicioso.

En el caso de Target, ninguna otra recomendación de la PCI DSS habría evitado el ataque, ya que el estándar está pensado para proteger los datos mientras están guardados, y no protege durante la lectura de la tarjeta.

Target ( o el esperado resultado de la ignorancia)

Download PDF

Target es una cadena de grandes almacenes fundada en Minneapolis, Estados Unidos, en 1962. Es la sexta empresa de retail más grande de Estados Unidos y se encuentra en la posición nº 36 de las empresas más grandes del mundo,
según la revista Fortune. Además, cuenta con 1,801 ubicaciones en todo Estados Unidos.

A finales de 2013, se descubrió que le habían robado a Target los números de tarjetas de crédito y débito de 40 millones de clientes, así como los datos personales de 70 millones de personas. A continuación se detallan los principales eventos:

  1. En Febrero de 2013, Target contrató a FireEye, Inc., una compañía de software de seguridad, para actualizar sus sistemas de seguridad informática. Uno de los servicios era proporcionar herramientas de detección de malware, incluyendo un equipo de especialistas en seguridad cuyo trabajo era monitorear los equipos de Target durante todo el día.
  2. Los atacantes empezaron probando las redes de ordenadores de varias grandes superficies, entre ellas Target. El sondeo les llevó hasta Fazio, un proveedor de sistemas de aire acondicionado y refrigeración para Target. Como parte del contrato, Fazio recibió credenciales de seguridad para la facturación electrónica, la gestión de proyectos y el envío de contratos, lo que le permitía tener acceso restringido a la red de Target.
  3. En algún momento de Septiembre de 2013, los hackers entaron en el sistema de Fazio con un email que contenía un malware llamado Citadel y robaron sus credenciales. Esto se debió en parte a la infeciente seguridad en Fazio, que poseía la versión gratuita de un antivirus, que no permitía su uso en empresas, y que no permitía realizar escaneos en en tiempo real.
  4. En Septiembre de 2013, numerosos miembros del personal de seguridad de Target detectaron vulnerabilidades en el sistema de tarjetas de pago de Target, debido a las actualizaciones realizadas en las cajas registradoras de Target, probablemente por el despliegue del software de seguridad realizado por FireEye. Las advertencias fueron ignoradas y no se realizaron investigaciones.
  5. En Septiembre de 2013, Target encargó una auditoría, que certificó que cumplía con todos los requisitos de la industria de pagos, incluyendo PCI DSS.
  6. El 15 de Noviembre de 2013, los hackers  se conectaron a la red informática de Target con las credenciales de Fazio. A pesar de Fazio solo debía tener un acceso limitado, la red de Target no está correctamente segmentada  para asegurar que sus partes más sensibles se encontrasen fuera de su red, vulnerabilidad que explotaron los hackers. Una vez dentro, instalan el software malicioso para el robo de tarjetas en unas pocas cajas registradoras.
  7. El 30 de Noviembre, los hackers instalan su malware en la mayoría de las cajas registradoras y comienzan a recopilar los datos de las tarjetas en las transacciones de los clientes en tiempo real. El funcionamiento del malware era el siguiente: cuando un cliente pasaba su tarjeta por la caja registradora, el malware intervenía y recuperaba el número y cualquier información sensible. Después almacenaban esa información en los servidores de Target y, a través de otro malware instalado en dichos servidores, empezaron a extraer los datos obtenidos de la red de Target a su red. El software de FireEye y el antivirus corporativo que poseía Target, Symantec, empiezan a enviar alertas sobre la presencia del malware, pero el equipo de seguridad decide ignorarlas.
  8. Durante dos semanas en Diciembre de 2013, el malware estuvo extrayendo información de los clientes, sin que nada ni nadie le interrumpiese.
  9. En Diciembre de 2013, se ponen a la venta las tarjetas de crédito en varias páginas ilegales de compra-venta de tarjetas.
  10. El 12 de Diciembre de 2013, los bancos empiezan a recibir incidencias sobre la aparición de cargos fraudulentos en tarjetas que habían sido usadas recientemente en Target. Ese mismo día, el Departamento de Justicia de EE.UU contacta con Target.
  11. El 15 de Diciembre de 2015, tres días después de recibir la notificación, tiempo durante el cual Target estuvo tratando de confirmar la notificación y los hackers siguieron robando información, Target empieza a purgar su sistema informático , y después de dos semanas de la recopilación de datos ininterrumpida, Target suspendió la mayoría de los malwares encargados de recoger la información personal.

Informe sobre el cumplimiento con el estándar PCI DSS

Download PDF

PCI DSS es un estándar creado por las principales compañías de tarjetas de crédito, como Visa o MasterCard, con el objetivo de asegurar los datos y evitar los fraudes en las empresas que procesan, almacenan y/o transmiten datos de tarjetas. Sin embargo, según un informe de Verizon, muestra que solo el 20% de los negocios cumplen con el estándar completo. Aunque el cumplimiento de las normas PCI no es obligatorio por la ley, las empresas que cumplen con estos requisitos están mejor preparadas para cumplir con otros requisitos de seguridad y, además, pueden obtener mejores condiciones comerciales de los proveedores de servicios de tarjetas.

Cumplimiento

Entre 2013 y 2014, el cumplimiento subió para 11 de los 12 requisitos del estándar PCI DSS, con un incremento promedio de 18 puntos porcentuales. El mayor aumento fue Requisito 8 (‘Asignar una identificación única a cada persona que tenga acceso a un ordenador.’). El único requisito en el que el cumplimiento descendió fue el número 11 (‘Probar regularmente los sistemas y procesos de seguridad.’), del 40% al 33%.

 

Lo que parece más difícil, según el informe, es mantener el cumplimiento del estándar durante el año:  menos de un tercio (28,6%) de las empresas resultaron ser aún totalmente compatibles menos de un año después de la conseguir la validación. Según Verizon y los ataques que han analizado, en el momento en el que se produjeron, ni una sola empresa cumplía con los estándares, a pesar de haber sido aprobadas.

Cumplir con los estándares en seguridad es vital para una empresa. En Estados Unidos, los pagos con tarjetas de crédito y débito representan dos tercios de las compras por valor. Según el informe, el 69% de las usuarios están menos inclinados a hacer negocios con una empresa que ha sufrido una brecha de seguridad y el 45% de los americanos dice que él o un miembro del hogar ha sido notificado en alguna ocasión, por un compañía de tarjetas, institución financiera o minorista, que su información de tarjeta de crédito, posiblemente, había sido robado como parte de una fuga de datos.

 

Referencias

http://www.cio-today.com/article/index.php?story_id=0020002HF5P0                   http://www.verizonenterprise.com/resources/report/rp_pci-report-2015_en_xg.pdf  http://www.channelbiz.es/2015/03/16/el-cumplimiento-pci-a-examen/