jueves, 21 de febrero de 2013

La multiplicación de los PANes y los PCs


A estas alturas deben ser ya pocos los profesionales del mundo IT que no hayan oído hablar, para bien o para mal, del estándar PCI DSS. Para los pocos despistados que aún no sepan de qué se trata, el estándar PCI DSS (Payment Card Industry Data Security Standard) tiene como principal objetivo mejorar la seguridad de los datos de titulares de tarjeta de pago y está suscrito y patrocinado por las principales marcas de este tipo de tarjetas (Visa, Mastercard, 4B, Amex, etc.). 

Existe así mismo el PCI Security Santards Council, foro creado en 2006 con la responsabilidad de elaborar, gestionar, educar y sensibilizar en los estándares de seguridad de PCI.

Implantar este estándar en los sistemas de una Organización, ya sea un comercio, un banco o un procesador de pagos, es un proyecto complejo. Y es que uno de los principales problemas con el que se topan las Organizaciones al plantearse el cumplimiento del estándar es la gran dispersión que suele darse en el almacenamiento y en el tratamiento de los datos de titulares de tarjeta. 

Al iniciarse un proceso de consultoría para la implantación del estándar PCI DSS se da un proceso curioso en el que invariablemente se descubren nuevas localizaciones en las que se almacenan los PANs1, así como multitud de usuarios adicionales que acaban utilizando los datos de tarjeta respecto a los que en un inicio los responsables de seguridad de la organización tuvieran constancias. Este es el dudoso milagro al que debe su nombre la presente entrada; “la multiplicación de los PANes y los PCs.”
No obstante, no es necesario tirar la toalla antes de empezar, ya que por suerte disponemos de dos vías principales y complementarias que nos permiten reducir y limitar el alcance de los sistemas que deben cumplir estos requerimientos: la segmentación y la tokenización.

La tokenización consiste en utilizar tokens en lugar de los números de tarjeta de pago siempre que no sea necesario realizar el cobro. De esta manera, las aplicaciones que traten tokens en lugar de los números de tarjeta pueden dejarse fuera del alcance del estándar. El punto clave en este caso, es asegurar convenientemente todo el proceso de generación de tokens, así como el proceso que permite, dado un token determinado, recuperar el número de tarjeta de pago que tiene asociado. Este método nos permite además reducir en gran medida la cantidad de localizaciones en las que almacenamos datos de titulares de tarjeta, facilitándonos la protección de dicho almacenaje, así como el control en el acceso a este tipo de datos.

Por otro lado, la segmentación de red nos permite dejar fuera del alcance del estándar todos los servidores y dispositivos que no transmitan, procesen o almacenen datos de tarjeta y que no estén directamente conectados con equipos incluidos en el alcance. Para ello, hemos de separar estos servidores o dispositivos en segmentos de red o VLAN’s separadas de los que sí participan en el proceso de tratamiento de datos de titulares de tarjeta. Para que dicha segmentación sea válida y efectiva, es necesario que filtremos el tráfico entre los segmentos incluidos en el alcance y los segmentos que no lo están, ya sea mediante reglas de firewalls o mediante ACLs en los routers, de manera que únicamente permitamos el tráfico estrictamente necesario entre los segmentos, documentando y justificando dicha necesidad.

Vemos a continuación cuales son los objetivos de control y los requerimientos del estándar PCI DSS:

A. Desarrollar y mantener una red segura
1.Instalar y mantener una configuración de firewall para proteger los datos del titular de tarjeta
2. No usar contraseñas de sistemas y otros parámetros de seguridad por defecto
B. Proteger los datos del titular de tarjeta
3. Proteger los datos almacenados del titular de la tarjeta
4. Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas
C. Mantener un programa de administración de las vulnerabilidades
5. Utilizar y actualizar con regularidad software antivirus
6. Desarrollar y mantener sistemas y aplicaciones seguras
D. Implementar medidas sólidas de control de acceso
7. Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa
8. Asignar una ID exclusiva a cada persona que tenga acceso por cada sistema
9. Restringir el acceso físico a los datos del titular de la tarjeta
E. Supervisar y evaluar las redes con regularidad
10. Rastrear y supervisar todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas
11. Probar con regularidad los sistemas y procesos de seguridad
F. Mantener una política de seguridad de la información
12. Mantener una política que aborde la seguridad de la información para todo el personal de la Organización


Cabe señalar que por reducido que acabe siendo el alcance de servidores y dispositivos, implantar el estándar seguirá sin ser tarea sencilla, ya que si analizamos en detalle los sub-requerimientos y procedimientos de test que incorporan los 12 requerimientos de PCI DSS, apreciamos enseguida que adecuar una organización para que cumpla las exigencias del estándar PCI DSS requiere llevar a cabo cambios profundos que incluyen tanto aspectos tecnológicos como organizativos o procedimentales.

Por tanto, es muy importante la labor de priorizar adecuadamente las tareas a abordar para lograr el cumplimiento y para ello el documento Prioritized_Approach_V2.0 publicado por el PCI Council es una excelente base. En este documento se agrupan los subrequerimientos del estándar en 6 hitos de cumplimiento, ordenados en función del grado de riesgo que mitiga su cumplimiento.

Así pues, los principales aspectos que debemos considerar a la hora de iniciar una adecuación al estándar son:
  • Identificar correctamente todos los flujos de datos de titulares de tarjetas existentes en la organización, así como todas las ubicaciones en las que está siendo almacenado.
  • Limitar el alcance lo máximo posible mediante segmentación de red o tokenización.
  • Priorizar adecuadamente las acciones necesarias para la adecuación con objeto de conseguir una implantación ordenada, eficiente y orientada a la mitigación de los principales riesgos y a la consecución de ‘quick wins’.

1 PAN: Primary Account Number (Número de la tarjeta de Pago)

No hay comentarios: