El estándar PCI-DSS
Enviado por johnfcs20 • 23 de Octubre de 2018 • Tarea • 3.446 Palabras (14 Páginas) • 169 Visitas
PCI
Las Normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS) se desarrollaron para fomentar y mejorar la seguridad de los datos y facilitar la adopción de medidas de seguridad uniformes a nivel mundial. Las PCI DSS se aplican a todas las entidades que participan en el procesamiento de tarjetas de pago, entre las que se incluyen comerciantes, procesadores, adquirientes, entidades emisoras y proveedores de servicios, como también todas las demás entidades que almacenan, procesan o transmiten CHD (datos del titular de la tarjeta) o SAD (datos de autenticación confidenciales).
En 2006, un grupo de entidades financieras, preocupado por el alto índice de fraudes con tarjetas, se reunió para crear un programa de seguridad de datos y fundaron un consejo denominado PCI Security Standards Council. Este grupo está conformado por American Express, Discover Financial Services, JCB International, MasterCard y VISA aunque posteriormente muchas otras organizaciones se han sumado a los esfuerzos para mejorar los estándares y vigilar su cumplimiento.
El estándar PCI-DSS que significa Payment Card Industry – Data Security Standard y consiste de una serie de normas de seguridad que exigen 12 requerimientos de seguridad agrupados en 6 categorías.
El PCI cuenta con 6 principios básicos, los cuales son:
- Construir y mantener redes seguras.
- Proteger la información del tarjetahabiente.
- Contar con programas de pruebas de vulnerabilidades
- Implementar controles de acceso robustos.
- Monitorear y probar acceso a la red regularmente.
- Mantener políticas de seguridad de la información.
Los datos de los participantes de los procesos en que se aplica la PCI se definen:
Datos de cuentas | |
Los datos de los titulares de las tarjetas incluyen: | Los datos confidenciales de autenticación incluyen: |
|
|
Para facilidad en la vigilancia y apoyo en el cumplimiento del estándar, el PCI Council creó diferentes figuras de manera que los establecimientos obtengan la ayuda adecuada de los expertos en seguridad que les orienten y evalúen el cumplimiento, como sigue:
QSA (Qualified Security Assessor): este tipo de entidad es un externo que está calificado por el PCI Council para realizar evaluaciones de cumplimiento del estándar. Para ello pasa a su vez por un proceso de certificación.
ASV (Approved Scanning Vendor): este tipo de entidad es un externo que está calificado para validar el apego al estándar PCI DSS realizando escaneos de vulnerabilidades de ambientes de cara a Internet, de establecimientos y proveedores de servicios (como parte del Requisito 11, ver sección de requisitos).
PA-QSA (Payment Application-Qualified Security Assessor): el estándar PA-DSS aplica a los fabricantes de software y otros componentes que desarrollan aplicaciones que almacenen, procesen o transmitan datos del tarjetahabiente o de la tarjeta. El PA-QSA es el tipo de entidad externo que está calificado para certificar el cumplimiento del fabricante del PA-DSS.
Como proveedor de seguridad de la información, existen varios caminos para apoyar a la industria en el cumplimiento del estándar PCI:
- Certificarse en alguna de las figuras mencionadas, con un foco especial.
- Proporcionar servicios relacionados con los controles que solicita el estándar.
En cualquiera de estos esquemas, el valor que un proveedor de SI puede ofrecer es su experiencia y visión en la mitigación de riesgos y en la protección de datos sensibles.
Requisitos:
Requisito 1: instale y mantenga una configuración de firewalls para proteger los datos de los titulares de las tarjetas
Los firewalls son dispositivos que controlan el tráfico computarizado entre las redes (internas) y las redes no confiables (externas) de una entidad, así como el tráfico de entrada y salida a áreas más sensibles dentro de las redes internas confidenciales de una entidad. El entorno de datos de los titulares de tarjetas es un ejemplo de un área más confidencial dentro de la red confiable de una entidad. El firewall examina todo el tráfico de la red y bloquea las transmisiones que no cumplen con los criterios de seguridad especificados.
Todo el sistema debe estar protegidos contra el acceso no autorizado desde redes no confiables, ya sea que ingresen al sistema a través de Internet como comercio electrónico, del acceso a Internet desde las computadoras de mesa de los empleados, del acceso al correo electrónico de los empleados, de conexiones dedicadas como conexiones entre negocios mediante redes inalámbricas o a través de otras fuentes. Con frecuencia, algunas vías de conexión hacia y desde redes no confiables aparentemente insignificantes pueden proporcionar un acceso sin protección a sistemas clave. Los firewalls son un mecanismo de protección esencial para cualquier red de computadoras.
Otros componentes del sistema pueden funcionar como firewall, siempre que reúnan los requisitos mínimos correspondientes a firewalls, según se especifica en el Requisito 1. En las áreas que se utilizan otros componentes del sistema dentro del entorno de datos de los titulares de tarjetas para proporcionar la funcionalidad de firewall, es necesario incluir estos dispositivos dentro del alcance y de la evaluación del Requisito 1.
Especificaciones del requisito 1:
- Establezca e implemente normas de configuración para firewalls y routers que incluyan lo siguiente:
- Un proceso formal para aprobar y probar todos los cambios y las conexiones de red en la configuración de los firewalls y los routers.
- Diagrama de red actual que identifica todas las conexiones entre el entorno de datos de titulares de tarjetas y otras redes, incluso cualquier red inalámbrica.
- El diagrama actual que muestra todos los flujos de datos de titulares de tarjetas entre los sistemas y las redes.
- Requisitos para tener un firewall en cada conexión a Internet y entre cualquier DMZ (zona desmilitarizada) y la zona de la red interna.
- Descripción de grupos, funciones y responsabilidades para la administración de los componentes de la red.
- Documentación y justificación de negocio para el uso de todos los servicios, protocolos y puertos permitidos, incluida la documentación de las funciones de seguridad implementadas en aquellos protocolos que se consideran inseguros. Entre los servicios, protocolos o puertos inseguros, se incluyen, a modo de ejemplo, FTP, Telnet, POP3, IMAP y SNMP versión 1 y versión 2.
- Requisito de la revisión de las normas de firewalls y routers, al menos, cada seis meses.
- Desarrolle configuraciones para firewalls y routers que restrinjan las conexiones entre redes no confiables y cualquier componente del sistema en el entorno de los datos de titulares de tarjetas.
- Prohíba el acceso directo público entre Internet y todo componente del sistema en el entorno de datos de los titulares de tarjetas.
- Instale software de firewall personal en todos los dispositivos móviles o de propiedad de los trabajadores que tengan conexión a Internet cuando están fuera de la red (por ejemplo, computadoras portátiles que usan los trabajadores), y que también se usan para acceder a la red. Las configuraciones de firewalls incluyen lo siguiente:
- Los parámetros específicos de configuración se definen para cada software de firewall personal.
- El software de firewall personal funciona activamente.
- Los usuarios de dispositivos móviles o de propiedad de los trabajadores no pueden alterar el software de firewall personal.
Requisito 2: no utilizar contraseñas de sistemas y otros parámetros de seguridad provistos por proveedores.
...