PCI DSS

¿Quién necesita cumplir con PCI DSS?

El objetivo del Estándar de Seguridad de Datos PCI (PCI DSS) es proteger los datos del titular de la tarjeta (CHD) y los datos confidenciales de autenticación (SAD) dondequiera que se procesen, almacenen o transmitan. Es necesario mantener la seguridad de los pagos para todas las organizaciones que almacenan, procesan o transmiten datos de titulares de tarjetas.

Los estándares de seguridad PCI incluyen requerimientos técnicos y operativos para:

• Organizaciones que aceptan o procesan transacciones de pago
• Desarrolladores de software y fabricantes de aplicaciones y dispositivos utilizados en esas transacciones

PCI 3.2.1, que se lanzó en mayo de 2018, es la versión actual a la que deben adherirse las organizaciones cubiertas.

La validación del cumplimiento se realiza anualmente o trimestralmente, mediante un método adecuado a la designación a nivel de comerciante de la organización, que es una función del volumen anual de transacciones con tarjeta de crédito manejadas.

Resumen de los niveles de PCI Merchant y los Requerimientos de Auditoría y Reporting

La siguiente tabla ofrece una visión general de los niveles de comercio de PCI, las arquitecturas de pago comunes que se utilizan normalmente en cada nivel y los requerimientos de auditoría y reporting de PCI correspondientes. Nota: Existen algunas diferencias sutiles en los puntos de referencia a nivel de comerciante entre las compañías de tarjetas de crédito, por lo que se recomienda a los lectores que consulten con sus asesores PCI y socios de QSA para obtener una evaluación precisa de los requisitos que se aplican a su organización.

12 Requisitos para PCI DSS

PCI DSS 3.2.1 incluye 6 objetivos, 12 requerimientos, 78 requerimientos básicos y más de 400 procedimientos de prueba. La siguiente tabla resume los objetivos de PCI DSS y los requerimientos relacionados. Para obtener detalles sobre los subrequisitos y las pruebas, los lectores deben revisar el Guía de referencia de PCI DSS.

Riesgos potenciales debido al incumplimiento de PCI

PCI DSS existe desde hace más de 12 años, pero muchas organizaciones continúan enfrentando hallazgos adversos críticos durante las auditorías. Un puñado de organizaciones también continúan reportando que experimentó una violación de datos incluso después de pasar recientemente una auditoría de PCI. La clave aquí es que el cumplimiento de normas no significa necesariamente que los datos y las aplicaciones estén seguros. El cumplimiento de normas debe considerarse como la línea de base; y las organizaciones también deben centrarse en identificar y mitigar los vectores de amenazas que no están necesariamente cubiertos por su mandatos de cumplimiento.

Estos son los más comunes Cumplimiento de PCI Desafíos:

1. Necesidad de administrar el alcance y controlar el costo de las auditorías PCI. El Consejo de Seguridad de la PCI publicó un guía para el alcance y la segmentación de la red. El documento ofrece un marco para ayudar a las organizaciones cubiertas a identificar los componentes CDE (entorno de datos del titular de tarjetas), los sistemas conectados a PCI y que impactan la seguridad PCI y los componentes fuera del alcance. Desafortunadamente, ejecutar el marco de alcance y segmentación es un desafío para muchas organizaciones debido a la naturaleza cada vez más dinámica y compleja de los entornos de data center y las arquitecturas de pago. Confiar en datos estáticos puntuales y mapas de flujo de red para poblar y mantener el inventario de componentes PCI combinado con cambios de TI inconsistentes y prácticas de administración de cambios de firewall conducen a errores de alcance y segmentación, lo que a su vez, da como resultado fallas en la evaluación de PCI y mayores costos de auditoría.
2. Incapacidad para mantener continuamente su postura de segmentación y cumplimiento de normas de seguridad PCI. Los estándares de seguridad PCI requieren que las organizaciones mantengan continuamente su postura de segmentación PCI y se aseguren de que cumpla continuamente con los requerimientos base y requerimientos de PCI. Las arquitecturas de pagos y centros de datos dinámicas y complejas combinadas con desalineaciones entre los procesos de seguridad y las operaciones de TI conducen a brechas de seguridad y control. Como resultado de las prácticas de TI, los componentes PCI a menudo terminan mezclándose con componentes que no son PCI dentro de la misma zona, VLAN o subred, y sin controles adicionales para restringir el tráfico al CDE. En algunos casos, la desconexión entre la administración de cambios de TI, el provisioning de recursos y los procesos de administración de cambios de firewall da como resultado un inventario incorrecto de los sistemas conectados a PCI dentro del alcance y reglas de firewall mal configuradas. Los procesos deficientes de administración de vulnerabilidades y de administración de parches también impiden que una organización mantenga continuamente su postura de seguridad de PCI. Informe de seguridad de pagos de Verizon proporciona una revisión detallada de las tendencias de seguridad de pagos y los desafíos críticos de seguridad que las organizaciones continúan experimentando. Verizon ha estado publicando este informe anualmente desde 2010. En el informe de 2020, los autores concluyen que los siguientes requisitos de PCI presentan las peores brechas de control:
3. Repaso 11. Probar sistemas y procesos de seguridad
4. Recipe 5. Protéjase contra software malintencionado
5. Realización 10. Rastree y supervise el acceso
6. Reposición 12. Administración de seguridad
7. Reposición 8. Autenticar el acceso
8. Requiero 1. Instalar y mantener una configuración de firewall
9. Tener redes planas. Sorprendentemente, muchas organizaciones hoy en día siguen teniendo redes planas debido a que éstas son sencillas de diseñar y fáciles de operar y mantener. Sin embargo, una red plana significa que todo en el entorno (incluidos los componentes no conectados a PCI y no CDE) está dentro del alcance de PCI, lo que genera mayores costos de auditoría de PCI. Una red plana también significa que si un mal actor puede comprometer con éxito un solo host, puede atravesar fácilmente la red y acceder a las aplicaciones de pago y la base de datos de titulares de tarjetas.
10. Necesidad de asegurar la transición al modelo operativo de trabajo remoto. A medida que las organizaciones hacen la transición a un modelo operativo de trabajo totalmente remoto, necesitan evaluar cómo estos cambios afectan el alcance de su entorno PCI y qué controles adicionales deben implementar para controlar el tráfico legítimo al CDE. Los ejemplos incluyen asegurar el acceso remoto legítimo de administradores autorizados a aplicaciones de pago desde computadoras portátiles de los trabajadores, asegurar el soporte y facturación remotos al cliente, y en el sitio, sin contacto, asegurando las conexiones autorizadas entre los quioscos sin contacto conectados a Internet y las aplicaciones del centro de datos.

¿Cuáles son los desafíos comunes de implementación de PCI Data Security Standard?

La visibilidad en tiempo real de las cargas de trabajo, los usuarios, los dispositivos y sus conexiones y flujos es importante para:

• Asegurar que el alcance del entorno PCI esté actualizado y sea preciso, lo que a su vez significa que las reglas de segmentación y firewall se apliquen correctamente.
• Proporcionar valiosos insumos para los análisis trimestrales de vulnerabilidades internos obligatorios y utilizar esta información para mapear las posibles vías de ataque lateral asociadas con las vulnerabilidades.
• Monitoreo continuo del entorno PCI para detectar cambios en cargas de trabajo, dispositivos, usuarios, conexiones e intentos fallidos de conexión, lo que podría ser un indicador de un ataque potencial.
• Identificar los cambios en la superficie de ataque y los vectores de amenazas que no están necesariamente cubiertos por los requerimientos de cumplimiento de PCI.

La importancia de la visibilidad en tiempo real para el cumplimiento efectivo de PCI DSS

• La visibilidad en tiempo real ayuda a garantizar la precisión del alcance PCI al monitorear continuamente todas las conexiones de los sistemas CDE, conectados a PCI y PCI que impactan la seguridad, todos los cuales están dentro del alcance de PCI. Luego, una organización puede aplicar la microsegmentación basada en host para hacer cumplir las reglas de firewall aplicables para restringir el tráfico entrante y saliente al entorno PCI solo a aquellos que están “permitidos” o “legítimos”. (Requisito 1)
• Mantener continuamente una segmentación efectiva y precisa del entorno PCI ayuda a controlar los costos de auditoría de PCI.
• La eliminación de reglas de firewall mal configuradas y desactualizadas mitiga la exposición de una organización cubierta a una posible violación de datos.
• Aproveche la integración con herramientas de automatización de TI (como Chef, Puppet y Ansible, Terraform) para garantizar que las políticas de segmentación sean provisionadas, al mismo tiempo que el provisioning de recursos de carga de trabajo y su liberación al entorno de producción.
• La visibilidad en tiempo real ayuda a la organización a evaluar los cambios en el alcance de PCI a medida que una organización realiza la transición al trabajo remoto. Ayuda a la organización a identificar brechas críticas de control y posibles vectores de ataque. A continuación, las organizaciones pueden aplicar la microsegmentación basada en host para restringir las conexiones punto a punto desde los dispositivos domésticos a las computadoras portátiles del usuario remoto, y para controlar las conexiones de usuario a aplicaciones de data center.
• Controle las conexiones entre cargas de trabajo PCI autorizadas, usuarios y dispositivos que se encuentran dispersos en múltiples VLAN, zonas y subredes, y manténgase al día con los cambios en las operaciones de TI, sin rediseñar el entorno de red.
• En entornos nativos de la nube y nuevos entornos, las organizaciones pueden aprovechar la integración con plataformas de orquestación de contenedores para aprovisionar “políticas de segmentación” al nacer una carga de trabajo.
• Además de cumplir directamente con los requerimientos de cumplimiento de PCI, una organización puede aplicar microsegmentación para reducir su superficie de ataque, obstruir el movimiento lateral y contener la propagación rápida de ransomware.

Uso de la microsegmentación basada en host para enfrentar sus desafíos de cumplimiento de PCI y ciberseguridad

• La visibilidad en tiempo real ayuda a garantizar la precisión del alcance de PCI al monitorear continuamente todas las conexiones de los sistemas CDE, conectados a PCI y PCI que impactan la seguridad, todos los cuales están dentro del alcance de PCI. Una organización puede entonces aplicar basado en host microsegmentación para hacer cumplir las reglas de firewall aplicables para restringir el tráfico entrante y saliente al entorno PCI solo a aquellos que están “permitidos” o “legítimos”. (Requisito 1)
• Mantener continuamente una segmentación efectiva y precisa del entorno PCI ayuda a controlar los costos de auditoría de PCI.
• La eliminación de reglas de firewall mal configuradas y desactualizadas mitiga la exposición de una organización cubierta a una posible violación de datos.
• Aproveche la integración con herramientas de automatización de TI (como Chef, Puppet y Ansible, Terraform) para garantizar que las políticas de segmentación sean provisionadas, al mismo tiempo que el provisioning de recursos de carga de trabajo y su liberación al entorno de producción.
• La visibilidad en tiempo real ayuda a la organización a evaluar los cambios en el alcance de PCI a medida que una organización realiza la transición al trabajo remoto. Ayuda a la organización a identificar brechas críticas de control y posibles vectores de ataque. A continuación, las organizaciones pueden aplicar la microsegmentación basada en host para restringir las conexiones punto a punto desde los dispositivos domésticos a las computadoras portátiles del usuario remoto, y para controlar las conexiones de usuario a aplicaciones de data center.
• Controle las conexiones entre cargas de trabajo PCI autorizadas, usuarios y dispositivos que se encuentran dispersos en múltiples VLAN, zonas y subredes, y manténgase al día con los cambios en las operaciones de TI, sin rediseñar el entorno de red.
• En entornos nativos de la nube y nuevos entornos, las organizaciones pueden aprovechar la integración con plataformas de orquestación de contenedores para aprovisionar “políticas de segmentación” al nacer una carga de trabajo.
• Además de cumplir directamente con los requerimientos de cumplimiento de PCI, una organización puede aplicar microsegmentación para reducir su superficie de ataque, obstruir el movimiento lateral y contener la propagación rápida de ransomware.

Más información

Comience ahora a implementar pasos para cumplir con PCI y proteger a sus clientes y su empresa.

Obtenga más información sobre cómo la microsegmentación puede ayudar a reducir su alcance PCI DSS y lograr el cumplimiento de nuestro white paper, “Tres pasos para segmentar eficazmente su cumplimiento de PCI”.