{"id":4316,"date":"2022-07-07T13:08:06","date_gmt":"2022-07-07T13:08:06","guid":{"rendered":"https:\/\/iqcol.com\/?p=4316"},"modified":"2024-02-28T13:36:23","modified_gmt":"2024-02-28T18:36:23","slug":"que-aspectos-debemos-tener-en-cuenta-para-identificar-el-alcance-de-pci-dss","status":"publish","type":"post","link":"https:\/\/iqcol.com\/en\/que-aspectos-debemos-tener-en-cuenta-para-identificar-el-alcance-de-pci-dss\/","title":{"rendered":"\u00bfQu\u00e9 aspectos debemos tener en cuenta para identificar el alcance de PCI DSS?"},"content":{"rendered":"

Alcance de los requerimientos de la norma PCI-DSS<\/strong><\/h2>\n

Las organizaciones tienen una gran dificultad para comprender a donde se requiere la aplicaci\u00f3n de los controles PCI-DSS y qu\u00e9 proteger. Esta secci\u00f3n busca orientar las entidades en como identificar el ambiente de datos de tarjeta y el alcance de la norma PCI-DSS. Adicional se explicar\u00e1 como reducir el alcance por medio de la segmentaci\u00f3n, lo cual ayudar\u00e1 a reducir sistemas a los cuales le aplicar\u00e1 la norma.<\/p>\n

El entorno de datos de tarjeta habiente, \u201cCard holder data enviroment (CDE)\u201d<\/h2>\n

PCI-DSS es una norma que se enfoca en la mayor\u00eda de los controles de los sistemas de informaci\u00f3n y nos indica el entorno de datos de titular de tarjeta (CDE), este compuesto por personas, procesos y tecnolog\u00edas las cuales almacenen, procesan o transmiten datos de titular de la tarjeta (CHD) y\/o datos sensibles de autenticaci\u00f3n (SAD). Adicional a esto tambi\u00e9n nos indica que todo lo que est\u00e9 en los mismos segmentos de red, estos sistemas tambi\u00e9n ser\u00e1n considerados CDE.<\/p>\n

En resumen, estos ser\u00edan los conceptos de alcance:<\/p>\n

    \n
  • Los sistemas de informaci\u00f3n ubicados dentro del CDE est\u00e1n dentro del alcance, independientemente de su funcionalidad.<\/li>\n
  • En una red plana, todos los sistemas est\u00e1n dentro del alcance si un solo sistema almacena, procesa o transmite datos de cuenta CHD y SAD.<\/li>\n<\/ul>\n

    \"Card<\/p>\n

    Sistemas que se conectan \u00f3 que puedan impactar la seguridad de los sistemas<\/h2>\n

    Todos los componentes que se conecten desde o hacia los dispositivos considerados CDE se contemplar\u00edan como alcance y tambi\u00e9n les aplicar\u00edan los controles de la norma PCI-DSS, esto independientemente de su funcionalidad o la raz\u00f3n por la que se conecten al CDE.<\/p>\n

    Los sistemas que com\u00fanmente se conectan al CDE son los que proveen o impactan la seguridad, proveen segmentaci\u00f3n, que simplemente se conecten para ofrecer alg\u00fan servicio o que de alguna forma puedan llegar desde o hacia el CDE por las redes.<\/p>\n

    PCI-DSS establece estas categor\u00edas:<\/p>\n

      \n
    • El componente del sistema est\u00e1 en una red diferente (o subred o VLAN), pero puede conectarse o acceder al CDE (p. ej., a trav\u00e9s de la conectividad de la red interna).<\/li>\n
    • El componente del sistema puede conectarse o acceder al CDE a trav\u00e9s de otro sistema, por ejemplo, a trav\u00e9s de una conexi\u00f3n a un servidor de salto que proporciona acceso al CDE.<\/li>\n
    • El componente del sistema puede afectar la configuraci\u00f3n o la seguridad del CDE, o c\u00f3mo se maneja CHD\/SAD, por ejemplo, un servidor de redirecci\u00f3n web o un servidor de resoluci\u00f3n de nombres.<\/li>\n
    • El componente del sistema brinda servicios de seguridad al CDE, por ejemplo, filtrado de tr\u00e1fico de red, distribuci\u00f3n de parches o administraci\u00f3n de autenticaci\u00f3n.<\/li>\n
    • El componente del sistema es compatible con los requisitos de PCI DSS, como servidores de tiempo y servidores de almacenamiento de registros de auditor\u00eda.<\/li>\n
    • El componente del sistema proporciona segmentaci\u00f3n del CDE de sistemas y redes fuera del alcance, por ejemplo, firewalls configurados para bloquear el tr\u00e1fico de redes que no son de confianza. (PCI Security Standards Council, 2017)<\/li>\n<\/ul>\n

      En el siguiente diagrama entenderemos mejor como identificar el CDE:<\/p>\n

      \"Red<\/p>\n

      En esta grafica tenemos el ejemplo de una pasarela de pagos la cual recibe por medio de formularios de los E-commerce de sus clientes los datos de tarjeta de cr\u00e9dito los cuales llegan por medio del servicio WEB expuesto por el Firewall, este llega y guarda en la base de datos el PAN y otros datos de tarjeta. Seguido a esto se env\u00eda por medio de una VPN los datos de tarjeta a una procesadora de pagos la cual confirma la compra retornando el aviso que se env\u00eda de nuevo al E-commerce del cliente de la pasarela.<\/p>\n

      Verificando el alcance: el servidor WEB, el Firewall, el servidor de base de datos son los sistemas que procesan, almacenan y transmiten los datos de tarjeta de cr\u00e9dito y se considerar\u00edan CDE.<\/p>\n

      Todos los dem\u00e1s sistemas que no participan en este proceso de compra est\u00e1n en el mismo segmento de red, por lo tanto, tambi\u00e9n se considerar\u00edan CDE y deben aplicar los requerimientos de la norma PCI DSS.<\/p>\n

      Esta actividad podr\u00eda ser muy dispendiosa para la empresa teniendo en cuenta que puede tener un gran volumen de dispositivos y gastar m\u00e1s recursos en la aplicaci\u00f3n de los controles a todos estos sistemas de informaci\u00f3n, entonces \u00bfC\u00f3mo podemos reducir este alcance a lo m\u00ednimo y aplicar los controles de seguridad a solo lo necesario?, continuemos con el siguiente apartado para despejar la duda.<\/p>\n

      Segmentaci\u00f3n de red<\/h2>\n

      Aunque la segmentaci\u00f3n de las redes no es un requisito o exigencia de la norma es altamente recomendable hacerla ya que si esta no se realiza, todo lo que se pueda comunicar a nivel de redes con lo determinado como CDE estar\u00eda en el alcance PCI DSS, por lo tanto, es altamente recomendable aislar de forma f\u00edsica o l\u00f3gica lo considerado como CDE de lo que se considere como alcance o lo que definitivamente no deber\u00eda este sen el alcance PCI DSS . Esto permite que el alcance de cumplimiento de la norma se reduzca a lo estrictamente necesario y evitar esfuerzo adicional en implementar controles en sistemas que no se relacionan con los flujos relacionados al almacenamiento, procesamiento y transmisi\u00f3n de los datos de tarjeta.<\/p>\n

      Cuando la segmentaci\u00f3n se implementa adecuadamente, un componente del sistema segmentado (fuera del alcance) no podr\u00eda impactar en la seguridad del CDE, incluso si un ataque fuera efectivo en un sistema fuera de los segmentos del CDE, su alcance tendr\u00eda una alta dificultad en afectar los sistemas del alcance PCI, por esto segmentar las redes nos ayuda a:<\/p>\n

        \n
      • Definir de forma clara y precisa el ambiente de datos de tarjeta<\/li>\n
      • Reducir los costos de la evaluaci\u00f3n PCI DSS por las QSA<\/li>\n
      • Al reducir el alcance se disminuye la cantidad de componentes en el alcance y por lo tanto el costo de implementaci\u00f3n de los controles disminuye.<\/li>\n
      • M\u00e1s facilidad en el mantenimiento de los controles PCI DSS<\/li>\n
      • Reducci\u00f3n de riesgos que puedan impactar en los datos de tarjeta ya que se protege mejor los accesos a estos por medio de las redes.<\/li>\n<\/ul>\n

        Podemos realizar segmentaci\u00f3n de redes de forma f\u00edsica o l\u00f3gica por medio de Firewall, Switches o Enrutadores, las redes inal\u00e1mbricas, por ejemplo, l\u00ednea el\u00e9ctrica, Bluetooth, GPRS, LAN inal\u00e1mbricas, redes satelitales tambi\u00e9n deben ser tenidas en cuenta si se usan para la conectividad con el CDE.<\/p>\n

        Para los ambientes nube que usan enrutamiento virtualizado se puede usar Firewalls virtuales, grupos de seguridad, redes locales virtuales, pueden usarse para la partici\u00f3n l\u00f3gica entre los sistemas del alcance y los que no lo son.<\/p>\n

        \"Red<\/p>\n

        Como podemos observar en la imagen se crearon diferentes segmentos de red. En un segmento est\u00e1n todos los sistemas del CDE, que son los que procesan, transmiten y almacenan datos de tarjeta. En el otro segmento est\u00e1n los sistemas que est\u00e1n en el alcance, pero requieren conectarse al CDE para ofrecer alg\u00fan servicio, esta red se debe tener los enrutamientos entrantes y salientes espec\u00edficos para solo proveer solo los servicios que se requieren por los puertos estrictamente necesarios.<\/p>\n

        Seguido a esto estar\u00eda la otra red en la cual est\u00e1n todos los sistemas que no requieren conectarse al CDE y por lo tanto estas redes est\u00e1n totalmente aisladas asegurando que esos sistemas no tengan ning\u00fan acceso a dichos componentes.<\/p>\n

        Ya que cada sistema fue segmentado dependiendo su actividad en el ambiente PCI DSS se asegura que los controles de la norma se apliquen solamente a los del CDE y los que estar\u00edan en la red del alcance, permitiendo excluir los dem\u00e1s sistemas del cumplimiento de la norma PCI DSS y de la necesidad de implementar los controles de cumplimiento de esta.<\/p>\n

        \"Red<\/p>\n

        Ya que cada sistema fue segmentado dependiendo su actividad en el ambiente PCI DSS se asegura que los controles de la norma se apliquen solamente a los del CDE y los que estar\u00edan en la red del alcance, permitiendo excluir los dem\u00e1s sistemas del cumplimiento de la norma PCI DSS y de la necesidad de implementar los controles de cumplimiento de esta.<\/p>\n

        Autores: Alejandro Pinto – Consultor QSA. Ana Mar\u00eda Pe\u00f1a Cer\u00f3n –\u00a0Consultor en Seguridad de la Informaci\u00f3n- IQ INFORMATION QUALITY<\/em><\/p>\n

         <\/p>\n

         <\/p>","protected":false},"excerpt":{"rendered":"

        Alcance de los requerimientos de la norma PCI-DSS Las organizaciones tienen una gran dificultad para comprender a donde se requiere la aplicaci\u00f3n de los controles PCI-DSS y qu\u00e9 proteger. Esta secci\u00f3n busca orientar las entidades en como identificar el ambiente de datos de tarjeta y el alcance de la norma PCI-DSS. Adicional se explicar\u00e1 como […]<\/p>","protected":false},"author":1,"featured_media":4325,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[26],"tags":[],"class_list":["post-4316","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias"],"blocksy_meta":[],"_links":{"self":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/posts\/4316","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/comments?post=4316"}],"version-history":[{"count":0,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/posts\/4316\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/media\/4325"}],"wp:attachment":[{"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/media?parent=4316"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/categories?post=4316"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/iqcol.com\/en\/wp-json\/wp\/v2\/tags?post=4316"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}