Skip to main content

Introducción al PCI-DSS

Este es el primero de una serie de post que realizaré del Payment Card Industry Data Security Standard.

Hoy en día el uso de las tarjetas de crédito es algo prácticamente universal, la tarjeta de crédito nos permite realizar transacciones comerciales con tanta facilidad que para muchos un mundo sin ellas no sería el mismo.

Pero, ¿conoces cómo con solo pasar la tarjeta de crédito por el lector del comercio es suficiente para comprar lo que quieres y que al final del mes se muestre las transacción en tu estado de cuenta? Aquí mencionaré los agentes que permiten todo esto y como esta industria trata de auto-regularse en beneficio del cliente.

Agentes:

  1. Titular de la tarjeta o Consumidor: Persona natural o jurídica a la cual se le emite una tarjeta de crédito.
  2. Banco Emisor: Institución financiera que emite la tarjeta de crédito, la cual es respaldada por una línea de crédito asignada al consumidor.
  3. Banco Adquirente: Banco que mantiene la relación comercial con aquellos comercios que aceptan tarjetas de crédito.
  4. Comercio: toda aquella entidad que recibe pagos por medio de tarjetas de crédito.
  5. Proveedor de procesamiento de pagos: usualmente contratado por el Banco Adquirente para que lleve acabo de manera segura toda la transacción.

Orden usual:

  1. Consumidor obtiene de un Banco Emisor una tarjeta de crédito, la cual tiene un límite de crédito.
  2. Consumidor presenta tarjeta al comercio.
  3. El comercio siguiendo las medidas de seguridad impuestas por su Banco Adquirente envía la información del consumidor a su Banco Adquiriente.
  4. Banco Adquiriente válida con el Banco Emisor de la tarjeta la capacidad de la tarjeta de procesar la transacción y de ser así permite la misma.
  5. Banco Adquiriente recibe del Banco Emisor el monto de la transacción.
  6. Banco Adquiriente paga al Comercio el monto de la transacción menos el porcentaje de servicio previamente establecido.
  7. Consumidor recibe del Banco Emisor un estado de cuenta y cancela monto adeudado.

Esto es una descripción sencilla, de seguro realmente existen muchos otros agentes involucrados, pero el fin de esto es hacer una introducción de como la industria pretende asegurarnos, a nosotros los consumidores, que nuestra información está siendo protegida de la mejor manera.


Es por eso que nace el PCI Security Council formado por las compañías más grandes de la industria (VISA, MASTERCARD, AMERICANEXPRESS, DISCOVER, DINERSCLUB y JCB) las cuales con la publicación del Payment Card Industry Data Security Standard (PCI-DSS) buscan facilitar la adopción de medidas de seguridad en toda la industria. Recuerda, PCI-DSS no es una ley, es una auto-regulación de la industria.

El PCI Security Council se compromete a continuar identificando los requerimientos de un entorno de IT seguro, de tal forma que el estándar se mantenga en una constante evolución.

Los requerimientos según la última versión de estándar (v1.2) son los siguientes:



Crear y Mantener una Red Segura

Req. 1: Instalar y mantener un firewall para proteger la data de los titulares de las tarjetas.

Req. 2: No utilizar las contraseñas por defecto o configuraciones de fábrica provistas por los proveedores.



Proteger la Data del Consumidor

Req. 3: Proteger la data almacenada de los titulares de las tarjetas.

Req. 4: Encriptar la transmisión de data del consumidor cuando es transportada por redes públicas y/o abiertas.

Mantener un Programa de Gestión de Vulnerabilidades

Req. 5: Utilice y actualice regularmente programas de antivirus.

Req. 6: Desarrolle y mantenga sistemas y aplicaciones seguras.


Implemente Medidas fuertes de Control de Acceso

Req. 7: Restringir acceso a data de los titulares de tarjetas a solo quien la necesite.

Req. 8: Asigne un identificador único a cada persona con acceso a una computadora.

Req. 9: Restringir el acceso físico a data de los titulares de tarjetas.


Monitoreo y Pruebas Regulares a las Redes

Req. 10: Registre y monitoree todos los accesos a los recursos de la red y data de titulares de tarjetas.

Req. 11: Pruebe, valide regularmente los sistemas de seguridad y procesos de seguridad.

Mantenga una Política de Seguridad de la Información

Req. 12: Mantenga una política de seguridad de la información para empleados y proveedores.


Los requerimientos del PCI-DSS aplican a todos los componentes del sistema. Se define como una componente de sistema a cualquier equipo de red, servidor o aplicación que esta conectada o forma parte del ambiente que maneja data de los titulares de tarjetas.


El nivel de cumplimiento del cual es objeto una entidad que forma parte la industria depende de varios factores, pero iré sobre esos detalles en otro momento.

Para mayor información sobre PCI-DSS por favor ir a:

https://www.pcisecuritystandards.org/index.shtml



Cualquier comentario es bienvenido, saludos,


Sebastián

Comments

Popular posts from this blog

Simulacros de escritorio de ataques - tabletop exercises

Se conoce como  Tabletop Exercise  al proceso de convocar a todos los que estarían involucrado en un incidente de seguridad y ante un escenario ficticio preguntarles cómo reaccionarían.  En este artículo lo traduciré a Simulacro de Escritorio, no sé si es la mejor traducción, pero iré con eso.   Trataré de darles luces sobre lo que debe incluir un Simulacro de Escritorio de ataques en base a lo que he aprendido al ser facilitador en múltiples simulacros. El objetivo principal de un Simulacro de Escritorio es preparar mejor a la organización que lo realiza para un incidente que afecte la seguridad de su información o sistemas.  Estos simulacros deben ser realizados por lo menos anualmente como parte de los procesos de Gestión de Incidentes y Plan Continuidad de Negocios. Recomiendo realizar simulacros para los principales riesgos que enfrentan sus organizaciones.  Por lo menos para estos incidentes de seguridad deben hacer un simulacro: ...

Creando tu SOC - Monitoreo de Seguridad - Parte 1 de n

El SOC (Security Operations Centers) puede significar cosas diferentes para diferentes organizaciones.  Entre las opciones tenemos: 1. La gente, procesos y tecnología responsables de los procesos de Gestión de Monitoreo de Seguridad y Gestión de Incidentes dentro de un Programa de Seguridad .  2. El grupo responsable de la seguridad física (cámaras de vigilancia, guardias de seguridad, control de acceso físico) 3. El grupo responsable por dar atención inmediata dentro de un centro de operaciones de soporte técnico. Para efectos de este artículo, la definición que usaremos es la primera . En el proceso de monitoreo de seguridad se realizan las siguientes actividades: 1. La identificación y colección de las bitácoras de los eventos dentro de la infraestructura que son de interés para proteger a los sistemas. 2. La creación y gestión de procedimiento de monitoreo de dichos eventos. 3. La entrega de eventos de seguridad comprabados como incidentes al proceso de Gestión de Inciden...

Creando tu Programa de Seguridad - Parte 1 de 2

 En la publicación sobre Seguridad Básica  te hablé de los controles básicos que debes tener implementados en un proceso de mejora continua antes de empezar a trabajar en un Programa de Seguridad.  Este artículo asumirá que lograste hacer algo y que ahora consideras necesario dar el siguiente paso.   Antes de preparar tu Programa de Seguridad, definamos ciertas cosas: 1. Programa: conjunto de procesos realizados buscando un objetivo común. 2. Procesos: conjunto de actividades estrechamente relacionadas que tienen en común herramientas, métricas y KPIs. Te recomiendo que tu Programa de Seguridad tenga los siguientes procesos: 1. Gestión de Vulnerabilidades y Actualizaciones 2. Gestión de Riesgos 3. Gestión de Monitoreo de Seguridad   4. Gestión de Incidentes de Seguridad 5. Gestión de Auditoría y Cumplimiento 6. Operaciones de Seguridad  7. Seguridad de Desarrollos 8. Concienciación y Educación en Seguridad 9. Seguridad de  Proveedores o Caden...