Estándar PCI-DSS y análisis de seguridad
Cada vez oímos más la importancia de cumplir este estándar. Muchas empresas conocen de su existencia a través artículos de revistas especializadas en seguridad, o por una llamada de la entidad bancaria. Y mucho más grave aún muchas empresas desconocen de su existencia.
La primera reacción al oír este estándar es abrir un navegador y buscar por Google "estándar PCI". A primera vista, la información que se abstrae de las entradas es "Consultoría PCI" "Ventajas de cumplir con el estándar PCI" "Estándar de seguridad de datos para tarjetas de pago (PCI-DSS)"
A partir de esta información podríamos hacernos una idea general de este estándar. Podríamos decir tal y como muestra una entrada que se trata de un estándar de seguridad relacionado con las tarjetas de pago. Y ahora surgen otras dudas. ¿Es obligatorio? ¿Es opcional? ¿Va destinado a todas las empresas? ¿Qué se debe de hacer para cumplir el estándar? No nos queda muy claro, así que optamos por buscar en la web del estándar.
Podemos decir que: "El PCI Security Standards Council es un foro mundial abierto, establecido en 2006, que se encarga de la formulación, gestión, educación y conocimiento de las Normas de seguridad de la industria de tarjetas de pago (PCI), entre ellas: La Norma de seguridad de datos (DSS), la Norma de seguridad de datos para las aplicaciones de pago (PA-DSS) y los requisitos de Seguridad de transacciones con PIN (PTS).[..]"
De aquí ya podemos aclarar un error generalizado. PCI no es PCI-DSS. PCI engloba varias normativas, todas ellas relacionadas con las tarjetas de pago y entre ellas PCI-DSS.
Esta organización fue fundada por cinco entidades: American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa Inc. Todas ellas tenían definidos programas similares. Payment Card Industry Data Security Standard (PCI DSS) se creó unificando sus programas con la intención de crear un nivel adicional de protección para los emisores de tarjetas garantizando que los comercios cumplen los niveles mínimos de seguridad en el almacenamiento, procesado y transmisión de los datos de las tarjetas.
Toda organización que guarde, procese o transmita información sobre las tarjetas de pago debe cumplir el estándar PCI-DSS
PCI-DSS diferencia dos tipos de organizaciones:
Merchant o comercios: Todas aquellas organizaciones que aceptan las tarjetas de crédito a cambio de bienes o servicios ( supermercados, autopistas, etc)
Service Provider o proveedores de servicios: Cualquier empresa que procesa, guarda y transmite información de las tarjetas, incluyendo compañías que dan servicio a merchant o a otro service provider. ( ISP, pasarelas de pago, etc)
Cada tipo de organización (merchant o service provider) tiene definido unos niveles, en función al volumen de tarjetas de crédito procesadas anualmente. En función al nivel de merchant o service provider que seamos, los requisitos de validación del estándar varían.
Por ese motivo es muy importante definir el tipo de entidad y el nivel de la misma.
Asimismo hay pequeños matices entre los requisitos según el tipo de entidad a la cual nos validamos (American Express, MasterCard, Visa USA o JCB)
El estándar PCI-DSS se divide en seis objetivos de control y 12 requerimientos. Cada sección debe cumplir unos requisitos, cada requisito está formado por un conjunto de pruebas a realizar en la organización.
Según el tipo de organización se debe realizar:
a. Auditoría anual on-site.
b. Un cuestionario de autoevaluación “Self-assessment Questionnaire (SAQ)” y “Report On Compliance (ROC)” siguiendo la plantilla definida en PCI-DSS.
c. Presentar los resultados trimestrales, realizados por un ASV (proveedor aprobado de escaneo) de un análisis interno y externo de vulnerabilidades de red.
Para cumplir con el estándar también es necesario realizar los siguientes análisis de seguridad, que se detallan en la sección 11, y que muchas veces no se tienen en cuenta por las organizaciones:
a. Comprobación presencia de puntos de accesos Wireless (11.1)
b. Test de intrusión interno anual, o cada vez que hay cambios significativos en la red. (11.3)
c. Test de intrusión Externo anual, o cada vez que hay cambios significativos en la red. (11.3)
Para cumplir con el estándar PCI-DSS es necesario que una empresa certificada te valide y te ayude a cumplir todos los requisitos necesarios. S21sec fue la primera empresa homologada QSA. (Qualified Security Assessors). Actualmente es QSA y ASV (Approved Scanning Vendor).
De modo que si se puede englobar su organización dentro del tipo merchant o service provider y hasta el momento no había oído hablar del estándar PCI, le recomendamos que analice si su organización debe cumplir con este estándar y contacte con nosotros para que lo asesoremos y le ayudemos cumplirlo.
Marta Gil
S21sec Auditoría
Fuente: S21Sec
La primera reacción al oír este estándar es abrir un navegador y buscar por Google "estándar PCI". A primera vista, la información que se abstrae de las entradas es "Consultoría PCI" "Ventajas de cumplir con el estándar PCI" "Estándar de seguridad de datos para tarjetas de pago (PCI-DSS)"
A partir de esta información podríamos hacernos una idea general de este estándar. Podríamos decir tal y como muestra una entrada que se trata de un estándar de seguridad relacionado con las tarjetas de pago. Y ahora surgen otras dudas. ¿Es obligatorio? ¿Es opcional? ¿Va destinado a todas las empresas? ¿Qué se debe de hacer para cumplir el estándar? No nos queda muy claro, así que optamos por buscar en la web del estándar.
Podemos decir que: "El PCI Security Standards Council es un foro mundial abierto, establecido en 2006, que se encarga de la formulación, gestión, educación y conocimiento de las Normas de seguridad de la industria de tarjetas de pago (PCI), entre ellas: La Norma de seguridad de datos (DSS), la Norma de seguridad de datos para las aplicaciones de pago (PA-DSS) y los requisitos de Seguridad de transacciones con PIN (PTS).[..]"
De aquí ya podemos aclarar un error generalizado. PCI no es PCI-DSS. PCI engloba varias normativas, todas ellas relacionadas con las tarjetas de pago y entre ellas PCI-DSS.
Esta organización fue fundada por cinco entidades: American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa Inc. Todas ellas tenían definidos programas similares. Payment Card Industry Data Security Standard (PCI DSS) se creó unificando sus programas con la intención de crear un nivel adicional de protección para los emisores de tarjetas garantizando que los comercios cumplen los niveles mínimos de seguridad en el almacenamiento, procesado y transmisión de los datos de las tarjetas.
Toda organización que guarde, procese o transmita información sobre las tarjetas de pago debe cumplir el estándar PCI-DSS
PCI-DSS diferencia dos tipos de organizaciones:
Merchant o comercios: Todas aquellas organizaciones que aceptan las tarjetas de crédito a cambio de bienes o servicios ( supermercados, autopistas, etc)
Service Provider o proveedores de servicios: Cualquier empresa que procesa, guarda y transmite información de las tarjetas, incluyendo compañías que dan servicio a merchant o a otro service provider. ( ISP, pasarelas de pago, etc)
Cada tipo de organización (merchant o service provider) tiene definido unos niveles, en función al volumen de tarjetas de crédito procesadas anualmente. En función al nivel de merchant o service provider que seamos, los requisitos de validación del estándar varían.
Por ese motivo es muy importante definir el tipo de entidad y el nivel de la misma.
Asimismo hay pequeños matices entre los requisitos según el tipo de entidad a la cual nos validamos (American Express, MasterCard, Visa USA o JCB)
El estándar PCI-DSS se divide en seis objetivos de control y 12 requerimientos. Cada sección debe cumplir unos requisitos, cada requisito está formado por un conjunto de pruebas a realizar en la organización.
Según el tipo de organización se debe realizar:
a. Auditoría anual on-site.
b. Un cuestionario de autoevaluación “Self-assessment Questionnaire (SAQ)” y “Report On Compliance (ROC)” siguiendo la plantilla definida en PCI-DSS.
c. Presentar los resultados trimestrales, realizados por un ASV (proveedor aprobado de escaneo) de un análisis interno y externo de vulnerabilidades de red.
Para cumplir con el estándar también es necesario realizar los siguientes análisis de seguridad, que se detallan en la sección 11, y que muchas veces no se tienen en cuenta por las organizaciones:
a. Comprobación presencia de puntos de accesos Wireless (11.1)
b. Test de intrusión interno anual, o cada vez que hay cambios significativos en la red. (11.3)
c. Test de intrusión Externo anual, o cada vez que hay cambios significativos en la red. (11.3)
Para cumplir con el estándar PCI-DSS es necesario que una empresa certificada te valide y te ayude a cumplir todos los requisitos necesarios. S21sec fue la primera empresa homologada QSA. (Qualified Security Assessors). Actualmente es QSA y ASV (Approved Scanning Vendor).
De modo que si se puede englobar su organización dentro del tipo merchant o service provider y hasta el momento no había oído hablar del estándar PCI, le recomendamos que analice si su organización debe cumplir con este estándar y contacte con nosotros para que lo asesoremos y le ayudemos cumplirlo.
Marta Gil
S21sec Auditoría
Fuente: S21Sec
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!