PCI en entornos Cloud

El avance en los últimos años de las tecnologías de virtualización y dockerización ha impulsado a grandes compañías como Amazon, Google y Microsoft a ofrecer sus propios servicios de computación en la nube; AWS – Amazon Web Services, GCP – Google Cloud Platform y Microsoft Azure respectivamente.

Haciendo uso de las diferentes modalidades de servicio (IaaS, PaaS y SaaS) compañías de todo tipo encuentran en la computación en la nube una fórmula para reducir precios y mejorar la escalabilidad de sus sistemas.
Si estas pensando en llevar tu entorno IT a la nube, este artículo pretende ofrecerte un conjunto de pautas que faciliten y aseguren el cumplimiento de la normativa con las máximas garantías posibles.

Limitando el alcance del proyecto

Desde A2SECURE consideramos que antes de poder determinar los pasos a seguir para adaptar el entorno PCI al Cloud, es necesario identificar qué es necesario llevar al Cloud, es decir:

1. Identificar los flujos de tarjeta que pasan a través de nuestros sistemas IT y;
2. Obtener un inventario de sistemas/activos que dan soporte a dichos flujos de tarjeta.

Nuestra experiencia en el sector nos indica que limitar de forma correcta el alcance del entorno es un factor clave para que una compañía pueda formalizar su cumplimiento PCI-DSS de forma más sencilla.

Determinando el tipo de servicio y responsabilidades:

Como ya hemos comentado anteriormente, tanto AWS como el resto de las grandes plataformas de computación en la nube ofrecen diferentes modalidades de servicio; IaaS, PaaS y SaaS. Desde el punto de vista de la normativa PCI-DSS es importante tener en cuenta el tipo de servicio contratado ya que cada uno de ellos otorga un nivel de responsabilidad diferente sobre los controles IT que requiere la normativa.
Por un lado, la modalidad SaaS (Software as a Service) ofrece a los clientes un entorno gestionado casi en su totalidad por el proveedor Cloud. De este modo, las responsabilidades del comercio de cara a la normativa (y los costes asociados al cumplimiento) se reducen drásticamente. Mientras que, por otro lado, en la modalidad IaaS el comercio tiene prácticamente todo el control de la infraestructura IT, por lo que las responsabilidades de cara a la normativa también recaen sobre este.

Definiendo una arquitectura acorde con la normativa

Uno de los principales puntos ha tener en cuenta cuando se define una arquitectura acorde con la normativa es definir diferentes zonas o segmentos de red en función de las necesidades de los sistemas que se alojen en ellas. En AWS esta primera segmentación se puede llevar a cabo mediante la creación de VPC y/o VPC Subnets; VPC Subnets públicas donde se alojen los servicios publicados a internet y VPC Subnets privadas donde se alojen servicios que, por seguridad, no deban tener servicios expuestos a internet.
A continuación, será necesario definir la conectividad entre las diferentes VPC y/o VPC subnets de AWS a través de AWS Access Control List (ACL) y AWS Security Groups (SG). La conectividad entre instancias deberá:

• Limitar la conectividad entre entornos de tal modo que solo se permita el tráfico mínimo necesario.
• Separar los sistemas en diferentes segmentos de red (VPC publicas y VPC privadas) en función de las necesidades de ese sistema.

Aprovechando las funcionalidades/servicios de AWS

Con el objetivo de que los comercios que lo requieran puedan cumplir con la normativa PCI-DSS de la forma más fácil posible, AWS pone a disposición de sus clientes un conjunto de herramientas y servicios orientados a:

•  Control de accesos al entorno (AWS IAM)
• Protección del perímetro (AWS Shield y AWS WAF)
• Gestión de vulnerabilidades (AWS Inspector y AWS GuardDuty)
• Monitorización del entorno (AWS CloudTrail y AWS CloudWatch)
• Gestión de claves de cifrado DEK y KEK (AWS KMS y AWS HSM)

¿Qué conclusiones sacamos?

Desde A2SECURE consideramos que cualquiera de las grandes plataformas de computación en la nube ofrece entornos y herramientas que facilitan el cumplimiento de la normativa PCI-DSS de sus clientes. Sin embargo, consideramos necesario que todos los comercios que quieran dar el salto a la nube evalúen primero qué servicios se están certificando PCI-DSS por parte de dichas plataformas y qué soluciones adicionales ofrece cada una de ellas para facilitar el cumplimiento de sus clientes.