Skip to main content

Introducción al PCI-DSS

Este es el primero de una serie de post que realizaré del Payment Card Industry Data Security Standard.

Hoy en día el uso de las tarjetas de crédito es algo prácticamente universal, la tarjeta de crédito nos permite realizar transacciones comerciales con tanta facilidad que para muchos un mundo sin ellas no sería el mismo.

Pero, ¿conoces cómo con solo pasar la tarjeta de crédito por el lector del comercio es suficiente para comprar lo que quieres y que al final del mes se muestre las transacción en tu estado de cuenta? Aquí mencionaré los agentes que permiten todo esto y como esta industria trata de auto-regularse en beneficio del cliente.

Agentes:

  1. Titular de la tarjeta o Consumidor: Persona natural o jurídica a la cual se le emite una tarjeta de crédito.
  2. Banco Emisor: Institución financiera que emite la tarjeta de crédito, la cual es respaldada por una línea de crédito asignada al consumidor.
  3. Banco Adquirente: Banco que mantiene la relación comercial con aquellos comercios que aceptan tarjetas de crédito.
  4. Comercio: toda aquella entidad que recibe pagos por medio de tarjetas de crédito.
  5. Proveedor de procesamiento de pagos: usualmente contratado por el Banco Adquirente para que lleve acabo de manera segura toda la transacción.

Orden usual:

  1. Consumidor obtiene de un Banco Emisor una tarjeta de crédito, la cual tiene un límite de crédito.
  2. Consumidor presenta tarjeta al comercio.
  3. El comercio siguiendo las medidas de seguridad impuestas por su Banco Adquirente envía la información del consumidor a su Banco Adquiriente.
  4. Banco Adquiriente válida con el Banco Emisor de la tarjeta la capacidad de la tarjeta de procesar la transacción y de ser así permite la misma.
  5. Banco Adquiriente recibe del Banco Emisor el monto de la transacción.
  6. Banco Adquiriente paga al Comercio el monto de la transacción menos el porcentaje de servicio previamente establecido.
  7. Consumidor recibe del Banco Emisor un estado de cuenta y cancela monto adeudado.

Esto es una descripción sencilla, de seguro realmente existen muchos otros agentes involucrados, pero el fin de esto es hacer una introducción de como la industria pretende asegurarnos, a nosotros los consumidores, que nuestra información está siendo protegida de la mejor manera.


Es por eso que nace el PCI Security Council formado por las compañías más grandes de la industria (VISA, MASTERCARD, AMERICANEXPRESS, DISCOVER, DINERSCLUB y JCB) las cuales con la publicación del Payment Card Industry Data Security Standard (PCI-DSS) buscan facilitar la adopción de medidas de seguridad en toda la industria. Recuerda, PCI-DSS no es una ley, es una auto-regulación de la industria.

El PCI Security Council se compromete a continuar identificando los requerimientos de un entorno de IT seguro, de tal forma que el estándar se mantenga en una constante evolución.

Los requerimientos según la última versión de estándar (v1.2) son los siguientes:



Crear y Mantener una Red Segura

Req. 1: Instalar y mantener un firewall para proteger la data de los titulares de las tarjetas.

Req. 2: No utilizar las contraseñas por defecto o configuraciones de fábrica provistas por los proveedores.



Proteger la Data del Consumidor

Req. 3: Proteger la data almacenada de los titulares de las tarjetas.

Req. 4: Encriptar la transmisión de data del consumidor cuando es transportada por redes públicas y/o abiertas.

Mantener un Programa de Gestión de Vulnerabilidades

Req. 5: Utilice y actualice regularmente programas de antivirus.

Req. 6: Desarrolle y mantenga sistemas y aplicaciones seguras.


Implemente Medidas fuertes de Control de Acceso

Req. 7: Restringir acceso a data de los titulares de tarjetas a solo quien la necesite.

Req. 8: Asigne un identificador único a cada persona con acceso a una computadora.

Req. 9: Restringir el acceso físico a data de los titulares de tarjetas.


Monitoreo y Pruebas Regulares a las Redes

Req. 10: Registre y monitoree todos los accesos a los recursos de la red y data de titulares de tarjetas.

Req. 11: Pruebe, valide regularmente los sistemas de seguridad y procesos de seguridad.

Mantenga una Política de Seguridad de la Información

Req. 12: Mantenga una política de seguridad de la información para empleados y proveedores.


Los requerimientos del PCI-DSS aplican a todos los componentes del sistema. Se define como una componente de sistema a cualquier equipo de red, servidor o aplicación que esta conectada o forma parte del ambiente que maneja data de los titulares de tarjetas.


El nivel de cumplimiento del cual es objeto una entidad que forma parte la industria depende de varios factores, pero iré sobre esos detalles en otro momento.

Para mayor información sobre PCI-DSS por favor ir a:

https://www.pcisecuritystandards.org/index.shtml



Cualquier comentario es bienvenido, saludos,


Sebastián

Comments

Post a Comment

Popular posts from this blog

Simulacros de escritorio de ataques - tabletop exercises

Se conoce como  Tabletop Exercise  al proceso de convocar a todos los que estarían involucrado en un incidente de seguridad y ante un escenario ficticio preguntarles cómo reaccionarían.  En este artículo lo traduciré a Simulacro de Escritorio, no sé si es la mejor traducción, pero iré con eso.   Trataré de darles luces sobre lo que debe incluir un Simulacro de Escritorio de ataques en base a lo que he aprendido al ser facilitador en múltiples simulacros. El objetivo principal de un Simulacro de Escritorio es preparar mejor a la organización que lo realiza para un incidente que afecte la seguridad de su información o sistemas.  Estos simulacros deben ser realizados por lo menos anualmente como parte de los procesos de Gestión de Incidentes y Plan Continuidad de Negocios. Recomiendo realizar simulacros para los principales riesgos que enfrentan sus organizaciones.  Por lo menos para estos incidentes de seguridad deben hacer un simulacro: 1.     Ataque de  ransomware 2.
Post a Comment
Read more

Deuda técnica (technical debt) en el SOC

Ayer conversaba con mi equipo sobre el nuevo proyecto X.  El nuevo proyecto X era la implementación de una innovadora herramienta de detección de intrusos que además permitía automatizar el proceso de respuesta ante ataques a un costo inferior a las alternativas. Creo que con esa descripción mis colegas defensores o del equipo azul (#BlueTeam) ya saben que esto había que hacerlo ya . Mientras veíamos las implicaciones de esta interesante herramienta  nos dimos cuenta que teníamos que definir cuáles serían los equipos involucrados en este proyecto.  Entonces le pido a mi equipo que saquemos el inventario de equipos involucrados de nuestra CMDB .  Después de todo, recientemente hicimos un gran esfuerzo por registrar todos nuestros activos en la CMDB con el propósito de ser utilizada en situaciones como esta. Con mucha sorpresa me entero que mi equipo ha regresado a mantener la mayoría del inventario en una hoja de Excel  y que la famosa CMDB no está siendo actualizada automáticamente ni
Post a Comment
Read more

Creando tu Programa de Seguridad - Parte 1 de 2

 En la publicación sobre Seguridad Básica  te hablé de los controles básicos que debes tener implementados en un proceso de mejora continua antes de empezar a trabajar en un Programa de Seguridad.  Este artículo asumirá que lograste hacer algo y que ahora consideras necesario dar el siguiente paso.   Antes de preparar tu Programa de Seguridad, definamos ciertas cosas: 1. Programa: conjunto de procesos realizados buscando un objetivo común. 2. Procesos: conjunto de actividades estrechamente relacionadas que tienen en común herramientas, métricas y KPIs. Te recomiendo que tu Programa de Seguridad tenga los siguientes procesos: 1. Gestión de Vulnerabilidades y Actualizaciones 2. Gestión de Riesgos 3. Gestión de Monitoreo de Seguridad   4. Gestión de Incidentes de Seguridad 5. Gestión de Auditoría y Cumplimiento 6. Operaciones de Seguridad  7. Seguridad de Desarrollos 8. Concienciación y Educación en Seguridad 9. Seguridad de  Proveedores o Cadena de Suministros Ahora para cada proceso te
Post a Comment
Read more