¿Qué es PCI DSS y PA DSS? Introducción
Para empezar a entender el cumplimiento PCI-DSS y PA-DSS tenemos que remontarnos a finales de la década de los noventa. Con la llegada de Internet, el fraude relacionado a tarjetas de crédito aumentó en gran medida. Había que hacer algo al respecto.
Como consecuencia, las compañías de tarjetas de crédito crearon sus propios programas de Seguridad. No obstante, los comerciantes que aceptaban múltiples tipos de tarjetas de crédito tuvieron dificultades para cumplir con todos los diferentes estándares.
Finalmente, las compañías de tarjetas de crédito se unieron para crear el estándar de cumplimiento PCI-DSS (Payment Card Industry Data Security Standard, o Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago) que se empezó a usar por los operadores de servicios de tarjetas de crédito en todo el mundo en 2004.
¿Qué es cumplimiento PCI DSS y cumplimiento PA DSS?
El estándar PCI-DSS fue desarrollado por un comité denominado PCI SSC (Payment Card Industry Security Standards Council) y hace foco en las redes, sistemas y otros equipos que permiten procesar transacciones realizadas con tarjetas de pago (crédito y débito).
A lo largo de los años ha pasado por revisiones notables que llevaron a los Negocios minoristas (y a otras industrias) que usan tarjetas de crédito/débito a reforzar sus posturas de Seguridad. Gracias a la implementación de PCI se redujo drásticamente el fraude con tarjetas.
Inicialmente, tan solo se recomendaba una amplia selección de configuraciones de infraestructura y políticas de Seguridad. Con el tiempo pasaron a ser “sugerencias”. Hasta que, finalmente, se convirtieron en obligatorias. Para diciembre 2019 PCI-DSS versión 3.2.1 habrá convertido todos los requisitos críticos en obligatorios.
El estándar PA-DSS (Payment Application Data Security Standard o Estándar de Seguridad de Datos para Aplicaciones de Pago) tiene una estructura similar, pero se centra en las aplicaciones de pago con tarjetas. Tiene como finalidad que los pagos sean realizados de forma segura. Para ello, se centra en cómo las aplicaciones colectan, procesan y transfieren los datos de las tarjetas. El estándar PA-DSS fue creado por VISA en 2008 y ya migró a su versión 3.2 en 2016.
Certificación PCI DSS y PA DSS: desafíos que presentan a las empresas
Los estándares PCI-DSS y PA-DSS son cadenas continuas y repetitivas de procesos de recertificación que tienen como objetivo demostrar a los procesadores de tarjetas de crédito/débito en todo el mundo (por ejemplo, VISA, DISCOVER, AMEX, y otros) que los datos de las tarjetas se manejan de forma correcta, segura, y que sus operaciones comerciales y de IT pueden ser auditadas.
La estructura de ambos estándares de cumplimiento se recopila en páginas y páginas en forma de tablas. Los "consultores" en PCI comúnmente usan herramientas de automatización, equipos de prueba y hojas de cálculo para llevar a cabo las auditorías y analizar los resultados.
Las infraestructuras y aplicaciones para cumplir con PCI deben cumplir con todos y cada uno de los requisitos. Asimismo, deben verificarse al menos una vez al año, o con mayor frecuencia si el equipo o software de procesamiento de tarjetas se sustituye en la empresa. En algunos casos se aceptan controles compensatorios por PCI y el proveedor de tarjetas, pero estas excepciones son raras y se deben revisar periódicamente.
Las auditorías de cumplimiento del estándar PCI pueden ser rigurosamente intrusivas para los Negocios, ya que se deben realizar pruebas determinadas en cada ubicación en donde se produzca cualquier tipo de procesamiento de tarjetas de crédito/débito. El Consejo de PCI está trabajando en la gestión del ciclo de vida de la auditoría para reducir el impacto en los Negocios y hacer que la auditoría sea más efectiva.
Si bien la certificación y la recertificación pueden ser procesos rigurosos, son desafíos críticos que se deben asumir. Dado que seguir los requisitos de cumplimiento PCI es tan vital para garantizar la Seguridad, el incumplimiento de la certificación PCI conlleva la amenaza de que los proveedores de servicios de tarjetas puedan retirar instantáneamente su servicio de procesado de transacciones, y esto puede afectar su capacidad de hacer negocios con sus clientes y socios.
PCI compliance: quién está obligado a cumplir la regulación
Los estándares de procesamiento y auditoría PCI aplican a todo aquel que acepte tarjeta de crédito/débito como medio de pago para cualquier tipo de producto o servicio intangible en todo el mundo, entre los que se incluyen:
- Servicios en negocios minoristas y otras locaciones físicas
- Servicios online
- Call centers de atención telefónica o chat
- Cualquier empresa especializada en servicios financieros que realice el procesamiento de transacciones en nombre de su empresa
- Su banco emisor de tarjeta de crédito/débito, cooperativa de créditos u otra institución (por ejemplo, tarjetas de crédito esponsorizadas por compañías aéreas)
La última versión de PCI, 3.2.1, presta especial atención a los centros de servicios compartidos. Hace hincapié en la necesidad de que exista una separación clara en la Seguridad de cada compañía y en que se dividan los servicios de tarjetas para cada empresa.
¿Cumplir con PCI asegura que todas las transacciones con tarjetas de crédito son seguras?
Es posible estar en cumplimiento con PCI y, aún así, sufrir un violación de los datos de los clientes. Dado que PCI se enfoca solo en el procesamiento de información de tarjetas de crédito/débito, no garantiza que sus sistemas de IT y sus procesos de Negocio no sean atacados de otras formas. El entorno de IT en su totalidad también debe ser analizado con atención y protegido acorde a sus necesidades.
Además, dado que el estándar PCI se enfoca solo en el manejo de datos de tarjetas, su cumplimiento no es una prueba legal de que sus sistemas e infraestructura aprobarán otros regímenes de cumplimiento como Sarbanes Oxley (SOX), regulaciones propias de su industria, RPDG o cualquier norma nacional o estatal de protección de datos. Sin embargo, la encriptación obligatoria de la información de las tarjetas de crédito/débito limitará a los hackers a reutilizar los datos de las tarjetas en otro lugar, si llegaran a acceder a ella.
Cómo cumplir con PCI en Latinoamérica y España
Ahora que hemos explicado los conceptos básicos, puede empezar a considerar qué pasos debe seguir su organización para cumplir con PCI en América Latina y España de forma correcta.
La siguiente tabla le ayudará a simplificar este proceso, ya que proporciona la lista completa de requisitos de PCI-DSS y PA-DSS, así como también sugerencias sobre cómo cumplir los puntos más importantes.
Para obtener ayuda para cumplir los requisitos de PCI específicamente en el Sistema Operativo IBM i, consulte nuestra guía de cumplimiento PCI DSS en IBM i.
Tabla actualizada de requisitos PCI y soluciones para cumplirlos
Descubra qué significa y en qué consiste cada requisito de PCI y cómo las soluciones de Fortra puede ayudar a su empresa a cumplirlos:
|
Requisito de cumplimiento PCI |
Cómo cumplir con la normativa |
|
Requisito PCI N°1: Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta |
|
|
1.3 Prohíba el acceso directo público entre Internet y todo componente del sistema en el entorno de datos de los titulares de tarjetas. |
Realice Penetration Testing para probar que no hay huecos en las reglas de firewall. Use Intermapper para descubrir interconexiones entre dispositivos y visualizar mapas de redes |
|
1.4 Instale software de firewall personal en todos los dispositivos móviles o de propiedad de los trabajadores que tengan conexión a Internet cuando están fuera de la red (por ejemplo, computadoras portátiles que usan los trabajadores), y que también se usan para acceder a la red. |
Use Intermapper para descubrir interconexiones entre dispositivos y visualizar mapas de redes |
|
Requisito PCI N°2: No utilizar contraseñas de sistemas y otros parámetros de Seguridad provistos por los proveedores |
|
|
2.1 Cambie siempre los valores predeterminados por el proveedor y elimine o deshabilite las cuentas predeterminadas innecesarias antes de instalar un sistema en la red. |
Realice Penetration Testing para probar que los valores predeterminados fueron cambiados a valores únicos.
|
|
2.2 Desarrolle estándares de configuración para todos los componentes de sistemas que contemplen todas las vulnerabilidades de Seguridad conocidas y que concuerden con las mejores prácticas de Seguridad aceptadas en la industria. |
Use Powertech Identity & Access Manager (BoKS) para definir roles y cuentas de sistema. Es obligatorio y requerido por las políticas que cambie automáticamente las contraseñas predeterminadas del Sistema Operativo y las claves SSH a medida que se aprovisiona cada sistema. Use Powertech Event Manager para documentar y auditar los estándares de configuraciones de Seguridad de sus sistemas. |
|
2.3 Cifre todo el acceso administrativo que no sea de consola utilizando una sólida encriptación. |
Use Powertech Identity & Access Manager (BoKS) para encriptar las comunicaciones que reciben los servidores. |
|
2.4 Lleve un inventario de los componentes del sistema que están dentro del alcance de PCI DSS. |
Use Powertech Event Manager para documentar y auditar los estándares de configuraciones de Seguridad de sus sistemas. |
|
2.6 Los proveedores de hosting compartido deben proteger el entorno y los datos del titular de la tarjeta que aloja la entidad. |
Use Powertech Identity & Access Manager (BoKS) para definir sistemas independientes, grupos de sistemas claramente visibles y cuentas para compañías de servicios PCI. Use Powertech Identity & Access Manager (BoKS) para reforzar la separación sistema/aplicación para infraestructuras PCI compartidas. |
|
Requisito PCI N°3 Proteja los datos del titular de la tarjeta que fueron almacenados |
|
|
3.2 No almacene datos confidenciales de autenticación después de recibir la autorización (aún cuando estén cifrados). |
Use Powertech Identity & Access Manager (BoKS) para reforzar las claves de acceso de cuentas de usuario y aplicación. Registre las claves en la base de datos de gestión de identidades. Las claves añadidas manualmente no podrán ser utilizadas. |
|
3.5 Documente e implemente procedimientos que protejan las claves utilizadas para proteger los datos del titular de la tarjeta almacenados contra su posible divulgación o uso indebido. |
Use Powertech Identity & Access Manager (BoKS) para reforzar el acceso mediante claves a cuentas de usuario y aplicaciones. Registre las clave en la base de datos de Gestión de Accesos e Identidades. Las claves añadidas de forma manual no podrán ser utilizadas. |
|
3.6 Documente por completo e implemente todos los procesos y procedimientos de administración de claves criptográficas que se utilizan para el cifrado de datos del titular de la tarjeta. |
Use Powertech Identity & Access Manager (BoKS) para definir las políticas de distribución de claves. |
|
Requisito PCI N°4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas |
|
|
4.1 Utilizar criptografía sólida y protocolos de Seguridad para proteger los datos confidenciales del titular de la tarjeta durante la transmisión por redes públicas abiertas. |
Use Powertech Identity & Access Manager (BoKS) para definir los estándares criptográficos para el uso de claves. Use GoAnywhere MFT para ofrecer encriptación completa end-to-end de los datos de los dueños de las tarjetas de crédito,, tanto de los datos en tránsito como en reposo. |
|
Requisito PCI N°5: Utilizar y actualizar con regularidad los programas de software antivirus |
|
|
5.1 Implemente un software antivirus en todos los sistemas que, generalmente, se ven afectados por software malicioso |
Implemente Powertech Antivirus para proteger sus sistemas Linux, AIX e IBM i de software malicioso. Fuerce el análisis de virus de los archivos antes de ingresar al entorno usando las capacidades de integración y automatización de transferencia de archivos de GoAnywhere MFT. |
|
5.2 Asegúrese de que los mecanismos de antivirus: estén actualizados, ejecuten análisis periódicos y generen registros de auditoría. |
Powertech Antivirus se actualiza automáticamente con las definiciones actuales de virus y malware. La solución escanea e informa los resultados en períodos o eventos configurables. |
|
5.3 Asegúrese de que los mecanismos de antivirus funcionen activamente y que los usuarios no puedan deshabilitarlos ni alterarlos, salvo que estén específicamente autorizados por la gerencia en casos particulares y durante un período limitado. |
Implemente Powertech Antivirus y asegúrese de que las cuentas y roles del Sistema Operativo que están a cargo de la solución de anti-virus estén protegidas de los usuarios normales. La capacidad de modificar el comportamiento estándar debe controlarse conjuntamente con una solución de gestión de cambios e integrarse con Powertech Identity & Access Manager (BoKS). |
|
Requisito PCI N°6: Desarrolle y mantenga sus sistemas y aplicaciones seguras |
|
|
6.3 Desarrolle aplicaciones de software internas y externas (incluso acceso administrativo a aplicaciones basado en web) de manera segura de acuerdo con las PCI DSS y basadas en las normas o en las mejores prácticas de la industria. Incorpore seguridad de la información durante todo el ciclo de vida del desarrollo del software. Esto rige para todos los software desarrollados internamente y para todos los software personalizados desarrollado externamente. |
Use Powertech Identity & Access Manager (BoKS) para asegurar que las cuentas de preproducción no pueden ser implementadas en sistemas que ya estén en producción. Use Powertech Event Manager para asegurar que las cuentas de preproducción no pueden ser implementadas en sistemas que ya estén en producción. Use Penetration Testing para verificar la Seguridad de las aplicaciones. |
|
6.4 Aplique procesos y procedimientos de control de cambios a todos los cambios en los componentes del sistema. |
Powertech Security Auditor puede actualizar automáticamente los cambios autorizados en la política de Seguridad eliminando así errores en la modificación manual de la configuración de Seguridad del Sistema Operativo y las cuentas de usuario, grupos y credenciales autorizadas relacionadas con PCI. |
|
6.5 Aborde las vulnerabilidades de codificación más comunes en los procesos de desarrollo, capacitando a los desarrolladores en las técnicas de codificación segura y en el desarrollo de aplicaciones basadas en las directivas seguras de programación, incluyendo cómo manejar la información sensible en la memoria. |
Use Powertech Identity & Access Manager (BoKS) para reforzar los estándares de Seguridad apropiados para aquellas aplicaciones que usan claves basadas en cuentas. Use Penetration Testing para verificar la Seguridad de las aplicaciones. |
|
Requisito PCI N°7: Restrinja el acceso a los datos del titular de la tarjeta según la necesidad de información que tenga la empresa |
|
| 7.1 Limite el acceso a los componentes del sistema y a los datos del titular de la tarjeta a aquellos individuos cuyas tareas necesitan de ese acceso. |
Use Powertech Identity & Access Manager (BoKS) para definir y mapear qué usuarios y grupos de usuarios pueden tener acceso a datos de usuarios de tarjetas de crédito a nivel de Sistema Operativo. Estas cuentas, grupos y permisos se aprovisionan automáticamente. Use Powertech Event Manager para reportar sobre requisitos a responsables de Negocio y auditar que la solución de cumplimiento sigue alcanzando los estándares de PCI, y no ha sigo subvertida. |
| 7.2 Establezca un sistema de control de acceso para los componentes del sistema que restrinja el acceso según la necesidad de información del usuario y que se configure para “negar todo”, excepto cuando se permita específicamente. |
Use Powertech Identity & Access Manager (BoKS) para aplicar el privilegio mínimo automático y negar todas las políticas de forma predeterminada en las plataformas Linux/UNIX. Use Powertech Event Manager para reportar sobre requisites a dueños de Negocios y auditar que la solución de cumplimiento sigue alcanzando los estándares de PCI, y no ha sigo subvertida. |
|
Requisito PCI N°8: Identifique y autentique el acceso a los componentes del sistema |
|
|
8.1 Defina e implemente políticas y procedimientos para garantizar la correcta gestión de la identificación de usuarios para usuarios y administradores en todos los componentes del sistema. Asigne a todos los usuarios una ID exclusiva antes de permitirles acceder a los componentes del sistema o a los datos del titular de la tarjeta. |
Use Powertech Event Manager para monitorear la inactividad del usuario y ayudar a garantizar que las cuentas inactivas se eliminen/deshabiliten en un plazo de 90 días. Event Manager puede impedir intentos de acceso repetidos bloqueando la ID de usuario después de no más de seis intentos. |
|
8.2 Use, al menos, uno de los siguientes métodos para autenticar todos los usuarios: algo que el usuario sepa, como una contraseña o frase de seguridad; salvo que el usuario tenga, como un dispositivo token o una tarjeta inteligente; algo que el usuario sea, como un rasgo biométrico. Deje ilegibles todas las credenciales de autenticación (como contraseñas/frases) durante la transmisión y el almacenamiento en todos los componentes del sistema mediante una criptografía sólida. |
Use Powertech Identity & Access Manager (BoKS) para exigir una autenticación sólida para todos los usuarios usando un token de autenticación multi-factor que use las contraseñas dentro de un clúster PCI. |
|
8.3 Implemente autenticación de doble factor para todo el acceso remoto a la red por parte de empleados, administrados y terceros, incluyendo accesos de proveedores para soporte o mantenimiento. Los ejemplos de tecnologías de dos factores incluyen, entre otros, autenticación remota y RADIUS (servicio dial-in) con tokens; TACACS (sistema de control de acceso mediante control del acceso desde terminales) con tokens y otras tecnologías que faciliten la autenticación de dos factores. El uso de un mismo factor dos veces (por ejemplo, utilizar dos contraseñas individuales) no se considera una autenticación de doble factor. |
Use Powertech Identity & Access Manager (BoKS) para proteger su clúster PCI del servicio remoto de PCI y del personal de soporte. En este caso, se debe usar MFA (autenticación de múltiples factores) y BoKS puede aplicar automáticamente la autenticación multo-factor para sesiones que empiezan fuera del clúster. |
|
8.5 No use ID ni contraseñas de grupo, compartidas ni genéricas, ni otros métodos de autenticación. Los proveedores de servicio con acceso a los entornos de cliente deben usar credenciales de autenticación únicas (como contraseñas o frases contraseña) para cada entorno del cliente. |
Use Powertech Identity & Access Manager (BoKS) para exigir e implementar políticas que aseguren que en cada iteración de aprovisionamiento de requerimientos de cliente de servicios PCI, se generen automáticamente IDs únicas, con credenciales de autorización únicas. En casos donde TAMBIÉN se requiera un cliente-final para llevar a cabo la administración remota en infraestructuras compartidas, deberá además asociar un autenticador multi-factor adicional a la cuenta cuando la genere. |
|
8.6 Si se utilizan otros mecanismos de autenticación (por ejemplo, tokens de seguridad físicos o lógicos, tarjetas inteligentes, certificados, etc.), el uso de estos mecanismos se debe asignar a una sola cuenta y no compartirlos entre varias. |
Use Powertech Identity & Access Manager (BoKS) para exigir que se asignen credenciales sólidas únicas a cuentas de usuario únicas. Para las cuentas de instalación de aplicaciones "propias" del Sistema Operativo (por ejemplo, como "Oracle" que posee los archivos de la base de datos y ejecutables), el uso de los Certificados de Usuario SSH puede ser obligatorio para cumplir con una autenticación fuerte A -to-A. |
|
Requisito PCI N°10: Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas |
|
|
10.1 Implemente pistas de auditoría para vincular todo acceso a componentes del sistema con usuarios específicos. |
Implemente la funcionalidad estándar de Powertech Identity & Access Manager (BoKS) para generar eventos y registros de auditoría, con ID de usuario y campos de grupo de usuario en cada registro. Use Powertech Event Manager para proporcionar listas de todos los eventos de fallos de inicio de sesión y escalamientos de privilegios. Además, las funcionalidades de reporting pueden darle detalles sobre cualquier acción realizada, incluidos los cambios, adiciones o eliminaciones a cualquier cuenta por parte de un usuario root o administrador. |
|
10.2 Implemente pistas de auditoría automáticas en todos los componentes del sistema |
Implemente Powertech Identity & Access Manager (BoKS) para generar registros de cambios en las políticas de Seguridad del Sistema Operativo, así como registros de acceso y autenticación de accesos a cuentas de usuario, para cada día. Use Powertech Event Manager para proporcionar listas de todos los eventos de fallos de inicio de sesión y escalamiento de privilegios. Además, las funcionalidades de reporting pueden darle detalles sobre cualquier acción realizada, incluidos los cambios, adiciones o eliminaciones a cualquier cuenta por parte de un usuario root o administrador. |
|
10.3 Registre las pistas de auditoría de todos los componentes del sistema para cada evento. |
Implemente la funcionalidad estándar de Powertech Identity & Access Manager (BoKS) para generar eventos y registros de auditoría, con ID de usuario y campos de grupo de usuario en cada registro. Implemente Powertech Event Manager para registrar y crear pistas de auditoría y generar reportes. |
|
10.4 Utilizando tecnología de sincronización, sincronice todos los tiempos y relojes críticos, y aplique controles para los horarios de adquisición, distribución y almacenamiento. |
Use la sincronización horaria en Powertech Identity & Access Manager (BoKS) para garantizar que los registros IAM OS de Linux/UNIX sean efectivos y reportados con precisión. Use Powertech Event Manager para monitorear y alertar sobre cualquier cambio de fecha y hora no programado. |
|
10.5 Proteja las pistas de auditoría para que no se puedan modificar |
Implemente Powertech Identity & Access Manager (BoKS) para monitorear los logs de Seguridad generados, de forma que no puedan puedan ser alterados. Implemente Powertech Event Manager para enviar todos los registros a una consola central para generar alertas y controlar redundancia. |
|
10.6 Revise los registros y los eventos de Seguridad en todos los componentes del sistema para identificar anomalías o actividades sospechosas. |
Use Powertech Event Manager para informar sobre eventos de Seguridad relacionados con PCI y, cuando corresponda, generar alertas de actividad sospechosa para que le centro de Operaciones de Seguridad pueda tomar acción inmediata |
|
10.7 Conserve el historial de las trazas de auditoría durante, al menos, un año. La información histórica de por lo menos los últimos tres meses debe estar disponible en forma inmediata para ser analizada. |
Use Powertech Event Manager para definir e implementar períodos de retención de registros de al menos un año dentro de su base de datos. |
|
Requisito PCI N°11: Pruebe con regularidad los sistemas y procesos de Seguridad |
|
| 11.3 Desarrolle e implemente una metodología para las pruebas de penetración que incluya pruebas de penetración al entorno interno y externo de la red, y llévelas a cabo al menos una vez por año y después de cualquier modificación o actualización. |
Implemente una solución estándar de Penetration Testing para definir límites y procesar los requisitos antes aquí mencionados. Implemente una solución estándar de Penetration Testing para ejecutar todas las modalidades de Penetration Testing solicitadas en este requisito. Utilice Servicios de Consultoría de Seguridad de terceros para contar con los esfuerzos de red de equipos. |
| 11.5Implemente un software de integridad de monitoreo de integridad de archivos para alertar al personal sobre modificaciones no autorizadas a archivos críticos del sistema, a archivos de configuración o de contenido. Configure el software para realizar comparaciones de archivos críticos, al menos, una vez por semana. |
Use Powertech Security Auditor para monitorear eventos de integridad de archivos, incluyendo cualquier modificación no autorizada (cambios, adiciones y eliminaciones) de archivos críticos del sistema, archivos de configuración o archivos de contenido; y configure el software para realizar comparaciones de archivos críticos al menos una vez por semana. Use Powertech Event Manager para priorizar estos eventos y alertar al personal apropiado sobre estos cambios. |
¿Su organización está en cumplimiento con PCI?
Reúnase con uno de nuestros expertos en Seguridad para que lo asesore en entender si su empresa cumple con todos los requisitos de la normativa.
