Desde enero de 2018 hay requerimientos de la normativa PCI-DSS que antes eran opcionales (o según PCI-DSS Best Practices), pero desde enero de 2018 han dejado de serlo y por consiguiente si quieres cumplir con PCI-DSS debes tenerlos en cuenta.

Basándose en el nivel de riesgo, el PCI Council ha decidido que los requerimientos a tener en cuenta no sean igual para los comercios que para los proveedores de servicios ya que estos últimos, por tipología de negocio, suelen impactar en la seguridad de las tarjetas de más de un comercio.

Service Provider (Proveedor de Servicio)

Si eres un proveedor de servicio y, de algún modo u otro, puedes impactar en la seguridad de los datos de las tarjetas de los clientes finales, deberás actualizar tu listado de tareas asociadas a PCI para incluir los siguientes puntos:

Cambios significativos en el entorno

Requerimiento 6.4.6 Al término de un cambio significativo, deben implementarse todos los requisitos pertinentes de la PCI DSS en todos los sistemas y redes nuevos o modificados, y la documentación actualizada según sea el caso.

¿Qué debo hacer?

Este requerimiento pretende asegurar que, en caso de instalar una nueva aplicación, un nuevo servidor, nuevos servicios, IP’s, etc, se actualicen las políticas y procedimientos de PCI-DSS, el inventario de activos del entorno PCI-DSS y que se analicen todos los controles y se modifiquen en caso de ser necesarios.

Algunos ejemplos de requisitos que se deberían de modificar son:

  • Diagrama de red y el inventario de sistemas para que se reflejen los cambios,
  • Validar que las guías de bastionado y la configuración de estos nuevos sistemas cumplen con los requerimientos de PCI-DSS (configuración, política de contraseñas, reglas de FW, monitorización del sistema, etc)
  • Incluir los nuevos sistemas (en caso de que apliquen) en el proceso trimestral de análisis de vulnerabilidades (ASV), test de intrusión interno y externo anual, etc.

Autenticación de múltiples factores

Requerimiento 8.3.1 Incorporar la autenticación de múltiples factores para todo acceso que no sea de consola en el CDE para el personal con acceso administrativo

¿Qué debo hacer?

Este requisito, según se detalla en la normativa PCI-DSS hace referencia a los accesos de administración que no sea de consola dentro del entorno de datos de tarjeta de crédito. Hay que tener en cuenta que este requisito no se aplica a las cuentas de aplicación o de sistemas que realizan funciones automatizadas, se aplica solo a usuarios (personal).

La idea es proporcionar una autenticación de múltiples factores, es decir, que como mínimo exista el doble factor de autenticación (a través de certificado y un token por ejemplo)

Verificar los controles de segmentación periódicamente

Requerimiento 11.3.4.1 Si se utiliza la segmentación, confirme el alcance de la PCI DSS al realizar pruebas de penetración en los controles de segmentación al menos cada seis meses, y después de cualquier cambio a los controles/métodos de segmentación.

¿Qué debo hacer?

Cuando uno quiere cumplir con la normativa PCI, limitar el alcance de aplicación de la normativa PCI-DSS es uno de los proyectos básicos a atacar y la segmentación es la mejor arma para ello.

La segmentación se logra introduciendo un dispositivo de seguridad tipo firewall que permita filtrar el tráfico de una red a otra. De este modo, reducimos el riesgo de que un atacante malintencionado pueda saltar entre redes sin problemas.

Pues bien, si eres proveedor de servicio y tienes que cumplir con PCI, deberás verificar, cada seis meses, que los controles que impiden el salto entre redes funcionan de forma correcta.

Establecer un programa de cumplimiento con PCI

Requerimiento 12.4.1 La gerencia ejecutiva deberá establecer la responsabilidad de la protección de los datos del titular de la tarjeta y un programa de cumplimiento de la PCI DSS.

¿Qué debo hacer?

Desde el PCI Council han notado que la dedicación de las empresas para mantener el cumplimiento con la normativa durante el año disminuye progresivamente una vez ya se ha conseguido pasar la auditoría realizada por un QSA. Esto provoca que al año siguiente el auditor se encuentre con situaciones difíciles de manejar.

Como pasa en muchos otros ámbitos, si nadie tiene la obligación inequívoca de hacer algo, muy pocas veces se va a hacer. Por este motivo, el PCI Council requiere que los proveedores de servicio definan un programa de cumplimiento y repartan la “gorra de mantenimiento y cumplimiento PCI” entre sus empleados.

Revisar y documentar la evolución del programa de cumplimiento con PCI

Requerimiento 12.11 Realizar revisiones al menos trimestralmente para confirmar que el personal sigue las políticas de seguridad y los procedimientos operativos.

¿Qué debo hacer?

Como parte del programa de cumplimiento PCI, como proveedor de servicio tienes la obligación de llevar a cabo un conjunto de tareas de forma periódica. A continuación, listamos algunas de ellas:

  • Revisiones del conjunto de reglas de firewall
  • Revisiones de los permisos de usuarios con acceso al entorno PCI
  • etc.

El personal al que hayas otorgado la “gorra de mantenimiento PCI” debe saber que tendrá que asegurarse que todas ellas se llevan a cabo de forma adecuada y que el auditor QSA le solicitará toda la documentación que dichas tareas hayan generado para adjuntarlas como evidencia en el proceso de auditoría.

Monitorizar y responder a cualquier alerta de seguridad

Requerimiento 10.8.1 Responder a las fallas de los controles de seguridad críticos en el momento oportuno.

¿Qué debo hacer?

Como proveedor de servicios PCI, no solo debes recolectar y almacenar todos los registros de auditoría que genere tu entorno PCI, debes permanecer alerta y responder de forma activa y en el momento adecuado ante posibles fallas de seguridad. La mejor forma de mejorar en este ámbito es aprender de cada falla que hayas tenido:

  • Asegurando que tus sistemas de monitorización detecten
  • Asegurando que tus sistemas de monitorización te permiten registrar el momento exacto de la falla y sus posibles causas
  • Asegurando que el equipo encargado de monitorizar el entorno PCI documente cualquier tarea de remediación que se haya tenido que llevar a cabo ya que estas podrán ser incluidas en próximas revisiones al plan de respuesta
  • Siempre que se añadan nuevos servicios, realizar análisis de riesgos para determinar si es necesario definir nuevos controles de seguridad
  • Definir un proceso de mejora continua que tenga en cuenta todos los puntos anteriores

Descripción de la arquitectura criptográfica

Requerimiento 3.5.1 Mantenga una descripción documentada de la arquitectura criptográfica

¿Qué debo hacer?

Los controles definidos en el requerimiento 3 sólo aplican en aquellos casos en que se almacenan datos de tarjeta. Por tanto, si eres proveedor de servicios y, de algún modo u otro, guardas datos de tarjeta de tus clientes deberás documentar, con el máximo detalle posible, la arquitectura criptográfica que has implementado.

Desde A2Secure recomendamos que generes los siguientes puntos:

  • Inventario de localizaciones donde almacenes datos de tarjeta
  • Inventario de claves de cifrado (tanto DEK como KEK) en el que se incluyan los algoritmos de cifrado utilizados y los criptoperíodos definidos

Si no sabes como afrontar estos nuevos requerimientos y necesitas asesoramiento, nuestro equipo de profesionales puede ayudarte. Contacta a través de [email protected]