PCI DSS , Colombia

¿Qué aspectos debemos tener en cuenta para identificar el alcance de PCI DSS?

Alcance de los requerimientos de la norma PCI-DSS

Las organizaciones tienen una gran dificultad para comprender a donde se requiere la aplicación de los controles PCI-DSS y qué proteger. Esta sección busca orientar las entidades en como identificar el ambiente de datos de tarjeta y el alcance de la norma PCI-DSS. Adicional se explicará como reducir el alcance por medio de la segmentación, lo cual ayudará a reducir sistemas a los cuales le aplicará la norma.

El entorno de datos de tarjeta habiente, “Card holder data enviroment (CDE)”

PCI-DSS es una norma que se enfoca en la mayoría de los controles de los sistemas de información y nos indica el entorno de datos de titular de tarjeta (CDE), este compuesto por personas, procesos y tecnologías las cuales almacenen, procesan o transmiten datos de titular de la tarjeta (CHD) y/o datos sensibles de autenticación (SAD). Adicional a esto también nos indica que todo lo que esté en los mismos segmentos de red, estos sistemas también serán considerados CDE.

En resumen, estos serían los conceptos de alcance:

  • Los sistemas de información ubicados dentro del CDE están dentro del alcance, independientemente de su funcionalidad.
  • En una red plana, todos los sistemas están dentro del alcance si un solo sistema almacena, procesa o transmite datos de cuenta CHD y SAD.

Card holder data enviroment (CDE)

Sistemas que se conectan ó que puedan impactar la seguridad de los sistemas

Todos los componentes que se conecten desde o hacia los dispositivos considerados CDE se contemplarían como alcance y también les aplicarían los controles de la norma PCI-DSS, esto independientemente de su funcionalidad o la razón por la que se conecten al CDE.

Los sistemas que comúnmente se conectan al CDE son los que proveen o impactan la seguridad, proveen segmentación, que simplemente se conecten para ofrecer algún servicio o que de alguna forma puedan llegar desde o hacia el CDE por las redes.

PCI-DSS establece estas categorías:

  • El componente del sistema está en una red diferente (o subred o VLAN), pero puede conectarse o acceder al CDE (p. ej., a través de la conectividad de la red interna).
  • El componente del sistema puede conectarse o acceder al CDE a través de otro sistema, por ejemplo, a través de una conexión a un servidor de salto que proporciona acceso al CDE.
  • El componente del sistema puede afectar la configuración o la seguridad del CDE, o cómo se maneja CHD/SAD, por ejemplo, un servidor de redirección web o un servidor de resolución de nombres.
  • El componente del sistema brinda servicios de seguridad al CDE, por ejemplo, filtrado de tráfico de red, distribución de parches o administración de autenticación.
  • El componente del sistema es compatible con los requisitos de PCI DSS, como servidores de tiempo y servidores de almacenamiento de registros de auditoría.
  • El componente del sistema proporciona segmentación del CDE de sistemas y redes fuera del alcance, por ejemplo, firewalls configurados para bloquear el tráfico de redes que no son de confianza. (PCI Security Standards Council, 2017)

En el siguiente diagrama entenderemos mejor como identificar el CDE:

Red plana PCI DSS

En esta grafica tenemos el ejemplo de una pasarela de pagos la cual recibe por medio de formularios de los E-commerce de sus clientes los datos de tarjeta de crédito los cuales llegan por medio del servicio WEB expuesto por el Firewall, este llega y guarda en la base de datos el PAN y otros datos de tarjeta. Seguido a esto se envía por medio de una VPN los datos de tarjeta a una procesadora de pagos la cual confirma la compra retornando el aviso que se envía de nuevo al E-commerce del cliente de la pasarela.

Verificando el alcance: el servidor WEB, el Firewall, el servidor de base de datos son los sistemas que procesan, almacenan y transmiten los datos de tarjeta de crédito y se considerarían CDE.

Todos los demás sistemas que no participan en este proceso de compra están en el mismo segmento de red, por lo tanto, también se considerarían CDE y deben aplicar los requerimientos de la norma PCI DSS.

Esta actividad podría ser muy dispendiosa para la empresa teniendo en cuenta que puede tener un gran volumen de dispositivos y gastar más recursos en la aplicación de los controles a todos estos sistemas de información, entonces ¿Cómo podemos reducir este alcance a lo mínimo y aplicar los controles de seguridad a solo lo necesario?, continuemos con el siguiente apartado para despejar la duda.

Segmentación de red

Aunque la segmentación de las redes no es un requisito o exigencia de la norma es altamente recomendable hacerla ya que si esta no se realiza, todo lo que se pueda comunicar a nivel de redes con lo determinado como CDE estaría en el alcance PCI DSS, por lo tanto, es altamente recomendable aislar de forma física o lógica lo considerado como CDE de lo que se considere como alcance o lo que definitivamente no debería este sen el alcance PCI DSS . Esto permite que el alcance de cumplimiento de la norma se reduzca a lo estrictamente necesario y evitar esfuerzo adicional en implementar controles en sistemas que no se relacionan con los flujos relacionados al almacenamiento, procesamiento y transmisión de los datos de tarjeta.

Cuando la segmentación se implementa adecuadamente, un componente del sistema segmentado (fuera del alcance) no podría impactar en la seguridad del CDE, incluso si un ataque fuera efectivo en un sistema fuera de los segmentos del CDE, su alcance tendría una alta dificultad en afectar los sistemas del alcance PCI, por esto segmentar las redes nos ayuda a:

  • Definir de forma clara y precisa el ambiente de datos de tarjeta
  • Reducir los costos de la evaluación PCI DSS por las QSA
  • Al reducir el alcance se disminuye la cantidad de componentes en el alcance y por lo tanto el costo de implementación de los controles disminuye.
  • Más facilidad en el mantenimiento de los controles PCI DSS
  • Reducción de riesgos que puedan impactar en los datos de tarjeta ya que se protege mejor los accesos a estos por medio de las redes.

Podemos realizar segmentación de redes de forma física o lógica por medio de Firewall, Switches o Enrutadores, las redes inalámbricas, por ejemplo, línea eléctrica, Bluetooth, GPRS, LAN inalámbricas, redes satelitales también deben ser tenidas en cuenta si se usan para la conectividad con el CDE.

Para los ambientes nube que usan enrutamiento virtualizado se puede usar Firewalls virtuales, grupos de seguridad, redes locales virtuales, pueden usarse para la partición lógica entre los sistemas del alcance y los que no lo son.

Red Segmentada

Como podemos observar en la imagen se crearon diferentes segmentos de red. En un segmento están todos los sistemas del CDE, que son los que procesan, transmiten y almacenan datos de tarjeta. En el otro segmento están los sistemas que están en el alcance, pero requieren conectarse al CDE para ofrecer algún servicio, esta red se debe tener los enrutamientos entrantes y salientes específicos para solo proveer solo los servicios que se requieren por los puertos estrictamente necesarios.

Seguido a esto estaría la otra red en la cual están todos los sistemas que no requieren conectarse al CDE y por lo tanto estas redes están totalmente aisladas asegurando que esos sistemas no tengan ningún acceso a dichos componentes.

Ya que cada sistema fue segmentado dependiendo su actividad en el ambiente PCI DSS se asegura que los controles de la norma se apliquen solamente a los del CDE y los que estarían en la red del alcance, permitiendo excluir los demás sistemas del cumplimiento de la norma PCI DSS y de la necesidad de implementar los controles de cumplimiento de esta.

Red Segmentada II

Ya que cada sistema fue segmentado dependiendo su actividad en el ambiente PCI DSS se asegura que los controles de la norma se apliquen solamente a los del CDE y los que estarían en la red del alcance, permitiendo excluir los demás sistemas del cumplimiento de la norma PCI DSS y de la necesidad de implementar los controles de cumplimiento de esta.

Autores: Alejandro Pinto – Consultor QSA. Ana María Peña Cerón – Consultor en Seguridad de la Información- IQ INFORMATION QUALITY