Este documento explica el estándar PCI DSS para la seguridad de datos de tarjetas de pago. Describe los principales actores en los pagos con tarjeta, los 12 requisitos de PCI DSS, y cómo la seguridad debe integrarse en todo el ciclo de vida del desarrollo de software para cumplir con el estándar. El objetivo final es definir medidas para proteger la infraestructura que maneja datos de tarjetas de pago.
2. Contenido
1. Explicar los principales conceptos sobre PCI DSS.
2. Identificar a los principales actores que intervienen en los
procesos de pago con tarjetas y explicar las funciones y
obligaciones de cada uno de ellos.
3. Los 12 Requisitos de PCI DSS.
4. PCI DSS y el Proceso Continuo.
5. PCI DSS y el Ciclo deVida de Desarrollo de Software.
6. Resumen.
3. 1. Principales Conceptos sobre PCI DSS
PCI SSC (Security Standards Council) es el Consejo de Normas de
Seguridad de la Industria deTarjeta de Pago, formado en 2006 por
las principales compañías emisoras de tarjetas de crédito:
PCI DSS es un Estándar de seguridad que aplica a todas las
entidades que participan en los procesos de las tarjetas de pago
compuesto por 6 objetivos de control y 12 requisitos para
Gestionar la Seguridad.
“El objetivo es definir medidas de protección para las
infraestructuras que intervienen en el tratamiento, procesado
o almacenamiento de información de tarjetas de pago”
4. 2. Actores que intervienen en los procesos de
pago con tarjetas y sus funciones
Adquirientes: (Entidades financieras), son las entidades con las que
tiene relación el comercio en el que hacemos el pago de algún bien o
servicio.
Emisores: (Entidades financieras), son las entidades con las que se ha
emitido la tarjeta, es decir nuestro banco que acabarán por cargarnos
el importe de la compra realizada en nuestra cuenta.
Comercios: (super/hipermercados, e-commerce, agencias de viaje,
etc.), es la entidad a la que le pagamos algún tipo de bien o servicio
por medio de nuestra tarjeta de crédito o débito.
Procesadores de Pago: son entidades que prestan servicios de
autorización de pago y su posterior regularización, facilitando el
intercambio de información entre el adquiriente y el emisor.
7. Aplicación de los Requisitos de PCI DSS
Los requisitos de PCI DSS aplican a todos los
componentes del sistema.
Un componente es cualquier elemento de red,
servidor o aplicación incluida en el entorno
de los datos de tarjetas o que esté
conectado a éste.
El entorno de los datos de tarjetas consta de
personas, procesos y tecnología que
almacenan, procesan o transmiten datos de
tarjetas o datos confidenciales de autenticación.
9. Aplicación de los requisitos al entorno PCI DSS
Cortafuegos (control de tráfico, DMZ, aislamiento).
Hardening de sistemas (modificar configuraciones por defecto de
fábrica, segregación de servicios).
Protección de datos almacenados (cifrado/ofuscación del PAN,
gestión de claves).
Transmisión cifrada de datos en redes públicas e inalámbricas.
Antivirus yAntimalware.
Aplicaciones seguras (desarrollo seguro e implementar la seguridad
en todo el ciclo de vida, actualización de componentes).
10. Control de acceso (gestión de usuarios y privilegios).
Identificadores nominales (autenticación de doble factor en accesos
remotos, gestión de contraseñas).
Control de acceso físico (ID, cámaras, registros o bitácoras).
Monitorización accesos/pistas de auditoría (registros, revisiones).
Detección de puntos inalámbricos, análisis de vulnerabilidades, pruebas
de penetración de red y aplicaciones, IDS/IPS, software integridad de
archivos críticos.
Políticas, procedimientos de seguridad, gestión de riesgos,
concientización, gestión de proveedores, contratos, gestión de incidentes.
Aplicación de los requisitos al entorno PCI DSS
11. 4. PCI DSS y el Proceso Continuo (PDCA)
• Monitorear eventos
• Revisar la Política de
Seguridad y Riesgos
• Realizar Auditorias
• Ejecutar Escaneos ASV
• Acciones para
corregir el NO
Cumplimiento
• Prevenir
Incidentes.
• Reducción del
Entorno
• Implementación
de Controles
• Formación y
Divulgación
• Validación del
Cumplimiento
• Identificar el
Entorno
• Identificar Datos
Sensibles
• Análisis GAP
• Plan de Acción
Planificar
(PLAN)
Implementar
(DO)
Revisar
(CHECK)
Actuar
(ACT)
12. 5. PCI DSS y el Ciclo de Vida de Desarrollo de
Software
Uno de los recursos mas importantes que se debe asegurar son las
aplicaciones, ya que los atacantes no crean agujeros de seguridad,
solo las explotan.
Las causas de los problemas de seguridad en aplicaciones son el
resultado de un mal diseño y una mala implementación.
Si una aplicación no está desarrollada adecuadamente, seguirán
existiendo problemas de:
Fiabilidad
Disponibilidad
Criticidad
Seguridad
13. Ciclo de Vida de Desarrollo
Definición y
Diseño
Desarrollo Despliegue
Mantenimie
nto y
Operación
A lo largo del ciclo de vida, se cuenta con un procedimiento de
control y gestión de cambios.
La Seguridad debe estar presente en todo el Ciclo deVida de
Desarrollo
SEGURIDAD
14. Ámbito de actuación:
Identificación de las áreas de seguridad de la aplicación.
Consideraciones de seguridad en el diseño.
Requisitos funcionales de seguridad.
Aspecto a tener en cuenta:
Principios de Seguridad: minimizar el área de exposición, no
confiar en sistemas externos, etc.
Requisitos de Seguridad: gestión de errores, criptografía,
autenticación y autorización, registros de auditoría, etc.
Políticas y Procedimientos: políticas de contraseñas, políticas de
copias de seguridad, procedimientos de programación segura, etc.
Definición y Diseño
15. En esta fase aparecen un mayor número de fallos de seguridad.
Para realizar una codificación segura es necesario conocer las
amenazas con las que nos podemos encontrar y las buenas
prácticas para minimizarlas:
Clasificación de Amenazas: ataques de fuerza bruta, revelación de
información, deficiencias lógicas, autenticación insuficiente, etc.
Buenas Prácticas: autenticación y autorización, validación de datos,
gestión de sesiones, gestión de errores, configuraciones, etc.
Desarrollo
16. En esta fase la aplicación debe haber contemplado todas las
posibles deficiencias de seguridad mediante la comprobación
de requisitos, análisis del diseño, revisión del código, etc.
Se debe tomar en cuenta lo siguiente:
Pruebas de Intrusión en Aplicaciones: Permite verificar el éxito
de un posible ataque, detectando vulnerabilidades que no hayan sido
contempladas anteriormente.
Comprobación de la Gestión de Configuraciones: Es necesario
verificar como se han implementado y asegurado los distintos
componentes de la infraestructura.
Despliegue
17. Luego de la puesta en marcha en producción, es necesario seguir
realizando acciones que permitan mantener el nivel de seguridad
requerido.
Se debe tomar en cuenta lo siguiente:
Comprobaciones Periódicas de Mantenimiento: De forma
periódica y dependiendo del nivel de criticidad, deben realizarse
comprobaciones de seguridad para verificar que no se hayan introducido
nuevos riesgos en la aplicación y su infraestructura.
Asegurar laVerificación de Cambios: Después de que un cambio
haya sido implementado en producción, se deberá verificar que dicho
cambio no haya afectado el nivel de seguridad de la aplicación y la
infraestructura.
Mantenimiento y Operación
18. PCI DSS y el Ciclo de Vida de Desarrollo
Instalación y Mantenimiento de Sistemas de Información
Securización de sistemas de información. (Req.6.1)
Protección de los datos y las comunicaciones
Identificación y eliminación de datos sensibles (CVV2,
Pistas,…). (Req.3)
Protección de bases de datos mediante cifrado. (Req.3)
Seguridad en el Ciclo deVida del Desarrollo de Software
Auditoría de aplicación, Revisión de código, Guía de buenas
prácticas para el desarrollo seguro, formación. (Req.6.3, 6.4, 6.5)
19. PCI DSS y el Ciclo de Vida de Desarrollo
Control deAcceso
Control deAcceso al Sistema Operativo, Red, Bases de Datos y
Aplicaciones. (Req.7 y 8)
Revisión yTest de intrusión
Test de intrusión interno y externo (escanear las aplicaciones).
(Req.11)
21. OWASP y su aporte a PCI DSS
OWASP es un proyecto abierto de seguridad de aplicaciones web,
dedicado a determinar y combatir las causas que hacen que el
software sea inseguro. Está formada por empresas, organizaciones
educativas y particulares de todo el mundo.
En PCI DSS se nombra a OWASP en el cumplimiento del
requerimiento 6.5 “Desarrollar aplicaciones basadas en las mejores
prácticas de codificación segura”.
Recursos de OWASP:
Owasp Development Guide
OWASPTop 10
OWASPTesting Guide
OWASP Code Review Guide
OWASP ZAP
22. 6. Resumen
PCI DSS debe cumplirse
Si se procesa, almacena o transmite datos de tarjetas.
La implantación debe pensarse como un proceso
Definir procesos.
Asignar recursos.
Comprometer a la dirección.
Monitorizar y Revisar.
Integrar PCI DSS en la gestión de la seguridad de la compañía.
Contar con el apoyo de expertos
Asesorase con un QSA.
Realizar auditorías con empresas ASV.