Volver A estas alturas deben ser ya pocos los profesionales del mundo IT que no hayan oído hablar, para bien o para mal, del estándar PCI DSS. Para los pocos despistados que aún no sepan de qué se trata, el estándar PCI DSS (Payment Card Industry Data Security Standard) tiene como principal objetivo mejorar la seguridad de los datos de titulares de tarjeta de pago y está suscrito y patrocinado por las principales marcas de este tipo de tarjetas (Visa, Mastercard, 4B, Amex, etc.). Existe así mismo el PCI Security Santandards Council, foro creado en 2006 con la responsabilidad de elaborar, gestionar, educar y sensibilizar en los estándares de seguridad de PCI. Implantar este estándar en los sistemas de una organización es un proyecto complejo. Y es que uno de los principales problemas con el que se topan las organizaciones al plantearse el cumplimiento del estándar es la gran dispersión que suele darse en el almacenamiento y en el tratamiento de los datos de titulares de tarjeta. Al iniciarse un proceso de consultoría para la implantación del estándar PCI DSS se da un proceso curioso en el que invariablemente se descubren nuevas localizaciones en las que se almacenan los PANs , así como multitud de usuarios adicionales que acaban utilizando los datos de tarjeta respecto a los que en un inicio los responsables de seguridad de la organización tuvieran constancia. Este es el dudoso milagro al que debe su nombre el presente artículo; “la multiplicación de los PANes y los PCs.” No obstante, no es necesario tirar la toalla antes de empezar, ya que por suerte disponemos de dos vías principales y complementarias que nos permiten reducir y limitar el alcance de los sistemas que deben cumplir estos requerimientos: la segmentación y la tokenización. La tokenización consiste en utilizar tokens en lugar de los números de tarjeta de pago siempre que no sea necesario realizar el cobro. De esta manera, las aplicaciones que traten tokens en lugar de los números de tarjeta pueden dejarse fuera del alcance del estándar. El punto clave en este caso, es securizar convenientemente todo el proceso de generación de tokens, así como el proceso que permite, dado un token determinado, recuperar el número de tarjeta de pago que tiene asociado. Este método nos permite además reducir en gran medida la cantidad de localizaciones en las que almacenamos datos de titulares de tarjeta, facilitándonos la protección de dicho almacenaje, así como el control en el acceso a este tipo de datos. Por otro lado, la segmentación de red nos permite dejar fuera del alcance del estándar todos los servidores y dispositivos que no transmitan, procesen o almacenen datos de tarjeta y que no estén directamente conectados con equipos incluidos en el alcance. Para ello, hemos de separar estos servidores o dispositivos en segmentos de red o VLAN’s separadas de los que sí participan en el proceso de tratamiento de datos de titulares de tarjeta. Para que dicha segmentación sea válida y efectiva, es necesario que filtremos el tráfico entre los segmentos incluidos en el alcance y los segmentos que no lo están, ya sea mediante reglas de firewalls o mediante ACLs en los routers, de manera que únicamente permitamos el tráfico estrictamente necesario entre los segmentos, documentando y justificando dicha necesidad.

Aún así, por reducido que acabe siendo el alcance de servidores y dispositivos, implantar el estándar no es tarea sencilla, ya que si analizamos en detalle los subrequerimientos y procedimientos de test que incorporan los 12 requerimientos de PCI DSS apreciamos enseguida que adecuar una organización para que cumpla las exigencias del estándar PCI DSS no es tarea sencilla ya que típicamente requiere llevar a cabo cambios profundos en las organizaciones que incluyen tanto aspectos tecnológicos como organizativos o procedimentales. Es por lo tanto muy importante la labor de priorizar adecuadamente las tareas a abordar para lograr el cumplimiento y para ello el documento Prioritized_Approach_V2.0 publicado por el PCI Council es una excelente base. En este documento se agrupan los subrequerimientos del estándar en 6 hitos de cumplimiento, ordenados en función del grado de riesgo que mitiga su cumplimiento. Otro aspecto importante a tener en cuenta a la hora de abordar un proyecto de adecuación al estándar, es contar con asesoramiento experto en la materia, ya que si bien el estándar es bastante concreto en la mayoría de sus requerimientos, siempre existen aspectos sujetos a interpretación, y por lo tanto, mal interpretables. Así pues, los principales aspectos que debemos considerar a la hora de comenzar una adecuación al estándar son: Identificar correctamente todos los flujos de datos de titulares de tarjetas existentes en la organización, así como todas las ubicaciones en las que está siendo almacenado. Limitar el alcance lo máximo posible mediante segmentación de red o tokenización. Priorizar adecuadamente las acciones necesarias para la adecuación con objeto de conseguir una implantación ordenada, eficiente y orientada a la mitigación de los principales riesgos y a la consecución de ‘quick wins’.

Omar Benjumea Gómez, Consultor de Seguridad de S21sec