Estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS) Establece un total de 12 requisitos para la seguridad de los datos de los titulares de tarjetas, que las organizaciones pueden almacenar, procesar y transmitir. El estándar proporciona una gran cantidad de información sobre seguridad, lo que puede dificultar que las organizaciones prioricen sus puntos de cumplimiento.
En este artículo, proporcionaremos un enfoque priorizado recomendado por los estándares de seguridad PCI, que ayudará a las organizaciones a comprender por dónde deben empezar y cómo reducir el riesgo en el proceso de cumplimiento.
¿Qué es el enfoque priorizado?
El enfoque priorizado proporciona seis hitos de seguridad importantes que ayudarán a las organizaciones a protegerse contra los factores de alto riesgo y las amenazas crecientes, al tiempo que cumplen con la normativa PCI DSS.
Hitos para el enfoque priorizado
El Enfoque Priorizado establece seis hitos. La siguiente tabla resume los objetivos generales y las intenciones de cada hito.
| Milestone | Objetivo |
|---|---|
| 1 | Elimine datos de autenticación confidenciales y limite la retención de datos. Si una organización no necesita datos de autenticación confidenciales ni otros datos de titulares de tarjetas, simplemente puede eliminarlos, lo que disminuirá en gran medida el riesgo de que la información se vea comprometida. |
| 2 |
Proteger sistemas y redes y estar preparado para responder ante una violación del sistema. En este objetivo, las organizaciones deben centrarse en los puntos de acceso y los procesos de respuesta. |
| 3 | Protección de aplicaciones de tarjetas de pago. Para lograr este objetivo, las organizaciones deben centrarse en el control de la aplicación, sus procesos y los servidores. Las debilidades y vulnerabilidades en estas áreas facilitarían el acceso a los datos de los titulares de tarjetas y otra información. |
| 4 | Monitoreo y control de acceso a sistemas. Las organizaciones deben centrarse en quién, qué, cuándo y cómo algo o alguien accede a la información del titular de la tarjeta, la red y los entornos de datos. |
| 5 | Protección de datos del titular de la tarjeta almacenados. Las organizaciones deben proteger adecuadamente los datos de los titulares de tarjetas, que pueden incluir números de cuenta principales, objetivos de Milestone Five y mecanismos de protección clave para esos datos almacenados. |
| 6 | Finalizar las gestiones de cumplimiento restantes y asegurar que todos los controles estén implementados. Este objetivo pretende completar los requisitos de PCI DSS y finalizar las políticas, procedimientos y procesos restantes que son necesarios para proteger adecuadamente el entorno del titular de la tarjeta. |
Milestone
| 1 | 2 | 3 | 4 | 5 | 6 |
Requisitos de PCI DSS
Requisito 1
Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta
- Establecer e implementar estándares de configuración de firewall y enrutador que incluyan lo siguiente:
- Un proceso formal para aprobar y probar todas las conexiones de red y los cambios en las configuraciones del firewall y del enrutador.
- Diagrama de red actual que identifica todas las conexiones entre el entorno de datos del titular de la tarjeta y otras redes, incluidas las redes inalámbricas
- Diagrama actual que muestra todos los flujos de datos del titular de la tarjeta a través de sistemas y redes
- Requisitos para un firewall en cada conexión a Internet y entre cualquier zona desmilitarizada (DMZ) y la zona de red interna
- Descripción de grupos, roles y responsabilidades para la gestión de componentes de red
- Documentación de la justificación comercial y aprobación para el uso de todos los servicios, protocolos y puertos permitidos, incluida la documentación de las características de seguridad implementadas para aquellos protocolos considerados inseguros.
- Requisito de revisar los conjuntos de reglas del firewall y del enrutador al menos cada seis meses
- Cree configuraciones de firewall y enrutador que restrinjan las conexiones entre redes no confiables y cualquier componente del sistema en el entorno de datos del titular de la tarjeta.
- Restrinja el tráfico entrante y saliente a lo que sea necesario para el entorno de datos del titular de la tarjeta y deniegue específicamente todo el resto del tráfico.
- Proteja y sincronice los archivos de configuración del enrutador.
- Instale firewalls perimetrales entre todas las redes inalámbricas y el entorno de datos del titular de la tarjeta, y configure estos firewalls para denegar o, si el tráfico es necesario para fines comerciales, permitir únicamente el tráfico autorizado entre el entorno inalámbrico y el entorno de datos del titular de la tarjeta.
- Prohibir el acceso público directo entre Internet y cualquier componente del sistema en el entorno de datos del titular de la tarjeta.
- Implemente una DMZ para limitar el tráfico entrante únicamente a los componentes del sistema que brindan servicios, protocolos y puertos autorizados y de acceso público.
- Limite el tráfico entrante de Internet a direcciones IP dentro de la DMZ.
- Implemente medidas contra la suplantación de identidad para detectar y bloquear el ingreso de direcciones IP de origen falsificadas a la red.
- No permita tráfico saliente no autorizado desde el entorno de datos del titular de la tarjeta a Internet.
- Permitir únicamente conexiones “establecidas” a la red.
- Coloque los componentes del sistema que almacenan datos del titular de la tarjeta (como una base de datos) en una zona de red interna, separada de la DMZ y otras redes que no sean confiables.
- No revele direcciones IP privadas ni información de enrutamiento a terceros no autorizados.
- Instale un software de cortafuegos personal o una funcionalidad equivalente en cualquier dispositivo informático portátil que se conecte a Internet cuando esté fuera de la red y que también se utilice para acceder al CDE. Las configuraciones de cortafuegos (o equivalentes) incluyen:
- Se definen ajustes de configuración específicos.
- El firewall personal (o funcionalidad equivalente) se está ejecutando activamente.
- El firewall personal (o funcionalidad equivalente) no puede ser modificado por los usuarios de dispositivos informáticos portátiles.
- Asegúrese de que las políticas de seguridad y los procedimientos operativos para administrar firewalls estén documentados, en uso y sean conocidos por todas las partes afectadas.
Requisito 2
No utilice valores predeterminados proporcionados por el proveedor para contraseñas del sistema y otros parámetros de seguridad.
- Cambie siempre los valores predeterminados proporcionados por el proveedor y elimine o deshabilite las cuentas predeterminadas innecesarias antes de instalar un sistema en la red.
- Para entornos inalámbricos conectados al entorno de datos del titular de la tarjeta o que transmiten datos del titular de la tarjeta, cambie TODOS los valores predeterminados del proveedor inalámbrico en la instalación, incluidos, entre otros, los valores predeterminados de la conexión inalámbrica. cifrado claves, contraseñas y cadenas de comunidad SNMP
- Desarrollar estándares de configuración para todos los componentes del sistema. Asegurarse de que estos estándares aborden todas las vulnerabilidades de seguridad conocidas y sean coherentes con los estándares de refuerzo de sistemas aceptados por la industria. Entre las fuentes de estándares de refuerzo de sistemas aceptados por la industria se incluyen, entre otras:
- Centro de seguridad de Internet (CIS)
- Organización Internacional de Normalización (ISO)
- Instituto de Seguridad de Redes de Auditoría de SysAdmin (SANS)
- Instituto Nacional de Estándares y Tecnología (NIST)
- Implementa una sola función principal por servidor para evitar que funciones que requieren diferentes niveles de seguridad coexistan en el mismo servidor.
- Habilite únicamente los servicios, protocolos, demonios, etc. necesarios para el funcionamiento del sistema.
- Implemente funciones de seguridad adicionales para cualquier servicio, protocolo o demonio requerido que se considere inseguro.
- Configure los parámetros de seguridad del sistema para evitar el uso indebido.
- Elimine todas las funciones innecesarias, como scripts, controladores, funciones, subsistemas, sistemas de archivos y servidores web innecesarios.
- Cifre todo el acceso administrativo que no sea de consola mediante criptografía sólida.
- Mantener un inventario de los componentes del sistema que están dentro del alcance de PCI DSS.
- Asegúrese de que las políticas de seguridad y los procedimientos operativos para gestionar los valores predeterminados de los proveedores y otros parámetros de seguridad estén documentados, en uso y sean conocidos por todas las partes afectadas.
- Los proveedores de alojamiento compartido deben proteger el entorno alojado de cada entidad y los datos del titular de la tarjeta.
Requisito 3
Proteja los datos almacenados del titular de la tarjeta
- Mantenga el almacenamiento de datos del titular de la tarjeta al mínimo implementando políticas, procedimientos y procesos de retención y eliminación de datos que incluyan al menos lo siguiente para todo el almacenamiento de datos del titular de la tarjeta (CHD):
- Limitar la cantidad de almacenamiento de datos y el tiempo de retención a lo requerido por requisitos legales, regulatorios y/o comerciales.
- Requisitos específicos de retención de datos del titular de la tarjeta.
- Procesos para la eliminación segura de datos cuando ya no son necesarios.
- Un proceso trimestral para identificar y eliminar de forma segura los datos almacenados del titular de la tarjeta que exceden la retención definida.
- No almacene datos de autenticación confidenciales después de la autorización (ni siquiera si están cifrados). Si recibe datos de autenticación confidenciales, deshabilítelos una vez finalizado el proceso de autorización.
Está permitido que los emisores y las empresas que respaldan los servicios de emisión almacenen datos de autenticación confidenciales si:- Existe una justificación comercial y
- Los datos se almacenan de forma segura.
- No almacene el contenido completo de ninguna pista (de la banda magnética ubicada en el reverso de una tarjeta, datos equivalentes contenidos en un chip o en otro lugar) después de la autorización. Estos datos se denominan también pista completa, pista, pista 1, pista 2 y datos de banda magnética.
- No guarde el código o el valor de verificación de la tarjeta (número de tres o cuatro dígitos impreso en el frente o el reverso de una tarjeta de pago utilizada para verificar transacciones sin tarjeta presente) después de la autorización.
- No guarde el número de identificación personal (PIN) ni el bloque de PIN cifrado después de la autorización.
- Enmascarar el PAN cuando se muestra (los primeros seis y los últimos cuatro dígitos son la cantidad máxima de dígitos que se pueden mostrar), de modo que solo el personal con una necesidad comercial legítima pueda ver más de los primeros seis/últimos cuatro dígitos del PAN.
- Haga que el PAN sea ilegible en cualquier lugar donde esté almacenado (incluso en medios digitales portátiles, medios de respaldo y en registros) mediante cualquiera de los siguientes enfoques:
- Hashes unidireccionales basados en criptografía fuerte (el hash debe ser del PAN completo)
- Truncamiento (Hashing no se puede utilizar para reemplazar el segmento truncado de PAN)
- Fichas y blocs de índice (los blocs deben almacenarse de forma segura)
- Fuerte criptografía con asociado gestión de claves procesos y procedimientos.
- Si se utiliza cifrado de disco (en lugar de cifrado de base de datos a nivel de archivo o columna), el acceso lógico se debe gestionar por separado e independientemente de los mecanismos de autenticación y control de acceso del sistema operativo nativo (por ejemplo, no utilizando bases de datos de cuentas de usuario locales o credenciales de inicio de sesión de red general). descifrado Las claves no deben estar asociadas a cuentas de usuario.
- Documentar e implementar procedimientos para proteger las claves utilizadas para asegurar los datos almacenados del titular de la tarjeta contra la divulgación y el uso indebido:
- Requisito adicional solo para proveedores de servicios: Mantener una descripción documentada de la arquitectura criptográfica que incluya:
- Detalles de todos los algoritmos, protocolos y claves utilizados para la protección de los datos del titular de la tarjeta, incluida la fortaleza de la clave y la fecha de vencimiento.
- Descripción del uso de la clave para cada clave.
- Inventario de cualquier HSM y otros SCD utilizados para la gestión de claves
- Restringir el acceso a las claves criptográficas al menor número de custodios necesarios
- Almacene las claves secretas y privadas utilizadas para cifrar/descifrar los datos del titular de la tarjeta en una (o más) de las siguientes formas en todo momento:
- Cifrado con una clave de cifrado que sea al menos tan fuerte como la clave de cifrado de datos y que se almacene por separado de la clave de cifrado de datos.
- Dentro de un dispositivo criptográfico seguro (como un módulo de seguridad de hardware (host) (HSM) o un dispositivo de punto de interacción aprobado por PTS)
- Como al menos dos componentes clave de longitud completa o acciones clave, de acuerdo con un método aceptado por la industria
- Almacena las claves criptográficas en el menor número de ubicaciones posible.
- Asegúrese de que las políticas de seguridad y los procedimientos operativos para proteger los datos almacenados del titular de la tarjeta estén documentados, en uso y sean conocidos por todas las partes afectadas.
- Requisito adicional solo para proveedores de servicios: Mantener una descripción documentada de la arquitectura criptográfica que incluya:
Conclusión
Este artículo es la primera parte de las especificaciones de cumplimiento de PCI. Le guiamos para lograr un cumplimiento adecuado de PCI y priorizar los requisitos, centrándonos en cada tarea según un hito específico. Esto ayudará a las organizaciones a proteger los datos de los titulares de tarjetas y el medio ambiente, además de lograr el cumplimiento de PCI.
Para obtener más información, visite nuestro sitio web: www.encryptionconsulting.com/
