miércoles, 26 de mayo de 2010

El Cifrado de tarjetas de crédito

Aunque hace 5 años que se redactó y se publicó la versión 1.0 del estándar PCI-DSS, no ha sido hasta recientemente cuando hemos empezado a notar cierta urgencia en la industria de nuestro país por cumplir con dicho estándar.
Parece que finalmente tanto VISA como Mastecard han empezado a presionar a las entidades bancarias para lograr que el cumplimiento de la PCI-DSS se generalice y los bancos a su vez, están trasladando dicha presión a los comercios y proveedores de servicios afectados..
PCI-DSS es un modelo desarrollado e impulsado por las principales compañías de tarjetas que afecta a las organizaciones que procesan, guardan o transmiten datos de tarjetas de crédito o débito.
Los controles y medidas de seguridad que propone PCI-DSS están encaminados a evitar el robo o la exposición pública de los datos de las tarjetas con el objetivo de prevenir cualquier tipo de fraude que pueda hacer uso ilícito de estos datos.

Si profundizamos un poco en los requisitos que se han de contemplar para cumplir adecuadamente con el estándar, una de las medidas exigidas es la de proteger los números de tarjetas almacenados mediante un cifrado sólido. Además, el acceso a dichos números deberá estar controlado, no permitiéndose la manipulación de los datos sin cifrar a ningún usuario o empleado que no lo requiera por motivos de negocio.
Para cumplir este requisito, podemos utilizar diferentes métodos o arquitecturas de cifrado:
Una primera opción es utilizar cifrado a nivel de disco. El principal problema de este método reside en que deberemos implementar los controles lógicos necesarios para garantizar que sólo el personal autorizado pueda tener acceso a los datos de la tarjeta.
Otra opción, y en principio más adecuada si los datos se guardan en bases de datos, es utilizar mecanismos de cifrado de los datos residentes en ellas. Se puede optar por cifrar toda la base de datos, o por el contrario, realizar un cifrado selectivo de determinados campos o columnas.
Esta puede ser una opción válida, pero hay que tener en cuenta que también necesitarán del establecimiento de controles lógicos adicionales, ya que en la mayoría de los casos los administradores de las bases de datos no se deberían contar entre los usuarios autorizados para acceder a los datos. No obstante, por su propia condición de administrador, puede resultar complejo establecer un nivel de protección adecuado que nos permita cumplir debidamente con el estándar.
Por otro lado, si el almacenaje de los datos de tarjetas se realiza utilizando diferentes plataformas o gestores de bases de datos, nos encontraremos con la necesidad de instalar y mantener diferentes tecnologías de cifrado de bases de datos para cada una de ellas.
También, si los datos se transfieren o se guardan en cualquier formato externo, deberán aplicarse nuevos métodos, controles o tecnologías, ya que el cifrado no se mantendrá al extraer la información de la base de datos donde se haya almacenado.
Para solventar estos inconvenientes, podemos realizar el cifrado en la propia capa de datos, esto es, a nivel de la aplicación que guarda o lee los datos. Existen en el mercado tecnologías que además de ofrecer las librerías y herramientas necesarias para que nuestras aplicaciones puedan cifrar/descifrar los datos fácilmente, se encargan también de llevar a cabo toda la gestión de claves y permisos de accesos. Por otro lado, este tipo de tecnologías suelen poder integrarse fácilmente con cualquier LDAP (Protocolo ligero de acceso a directorios) corporativo que utilice nuestra organización.
Este enfoque, nos permite garantizar que los administradores de sistemas o bases de datos no sean capaces en ningún caso de descifrar los datos, garantizando además que el cifrado persista con independencia del dispositivo o plataforma en la que residan. La independencia tecnológica, su versatilidad y escalabilidad, así como su relativamente sencilla implementación, convierten esta opción en la más adecuada en la mayoría de casos.
En cualquier caso, es conveniente ser cuidadoso y buscar el asesoramiento adecuado por parte de expertos especialistas durante el proceso de decisión, considerando la elección del método que mejor se adecue a cada organización, con el objetivo de cumplir el estándar PCI-DSS con una inversión mínima y buscando siempre el mayor retorno de la inversión posible.

No hay comentarios: