Dudas a la hora de definir el alcance de PCI DSS
Dentro de PCI DSS la definición del alcance resulta un requisito fundamental a la hora de establecer los sistemas de información que van a ser afectados por el cumplimiento de los requisitos de PCI DSS.
Por otro lado la segmentación de red resulta un paso muy útil para reducir este alcance y así aminorar en gran medida la implantación de los requerimientos de seguridad y abaratar de forma importante el coste de implantación de los mismos. Ahora bien la segmentación no es una cuestión baladí teniendo en cuenta que la mayoría de redes que predominan entre los afectos al cumplimiento de este estándar han sido creadas bajo necesidades de negocio y no para el cumplimiento de PCI DSS, y consiguientemente el hacer una segmentación de las redes supone hacer una reingeniería de procesos informáticos que no es para nada sencilla.
Dentro de este ámbito de la definición del alcance y la segmentación de redes, no son pocas las cuestiones que se suscitan y aquí quiero exponer dos de ellas:
Tal como veis otros sistemas que pudieran estar implicados son sistemas autenticación (DNS), servidores NTP… etc. Cuando se define el alcance de PCI DSS sobre el que luego se va a hacer una auditoria PCI DSS estos sistemas no se ven dentro de los “canales” por los que se transmiten, procesan o almacenan datos de tarjetas, ahora bien, si es necesario tenerlos en cuenta en cuanto a su funcionalidad y de cara a cumplir los requisitos de PCI DSS Ej. DNS para ver la autenticación (R. 8 y 9), servidores de back up para mirar back up (R.9), CPD 2 para ver si hay un DRP (R.12), servidores NTP y servidores de logs (R.10)… pero la pregunta es: ¿estos sistemas deben estar identificados como tal dentro del apartado de alcance del informe? ¿El meterlos dentro del alcance supone que estos servidores deban cumplir todos los requisitos de PCI DSS como el estar correctamente bastionados? Y lo más duro… ¿los segmentos de red donde están estos servidores deben ser escaneados y realizarse test de intrusión?
Mi opinión es la siguiente:
Entiendo que los sistemas que no trasmiten, procesan o almacenan datos de tarjeta, como propongo en el caso primero no deberían estar dentro del alcance de PCI DSS.
En cambio, en el segundo caso estos sistemas no estarían dentro de los canales de datos de tarjeta pero si dentro del alcance de PCI DSS únicamente en cuanto se vean afectados como sistemas auxiliares para el cumplimiento de ciertos requisitos PCI DSS y no como si fueran componentes de sistemas tal como define PCIDSS.
Por ejemplo un sistema de monitorización no debería cumplir todos los requisitos de PCI DSS pero si debería garantizar en su definición los requisitos del requerimiento 10 de PCI DSS: estar ubicado en un segmento de red interno, correctamente configurada la hora mediante NTP, garantizar integridad y disponibilidad de logs,…
Raúl Rodríguez Celaya
Departamento de Consultoría
Fuente: S21Sec
Por otro lado la segmentación de red resulta un paso muy útil para reducir este alcance y así aminorar en gran medida la implantación de los requerimientos de seguridad y abaratar de forma importante el coste de implantación de los mismos. Ahora bien la segmentación no es una cuestión baladí teniendo en cuenta que la mayoría de redes que predominan entre los afectos al cumplimiento de este estándar han sido creadas bajo necesidades de negocio y no para el cumplimiento de PCI DSS, y consiguientemente el hacer una segmentación de las redes supone hacer una reingeniería de procesos informáticos que no es para nada sencilla.
Dentro de este ámbito de la definición del alcance y la segmentación de redes, no son pocas las cuestiones que se suscitan y aquí quiero exponer dos de ellas:
- Primera: Imaginemos un sistema dentro de un proceso de negocio afectado por PCI DSS (hay PANes involucrados) que en sus funcionalidades sólo es llamado para validar ciertas transacciones del proceso donde los datos de tarjeta no intervienen (este sistema no transmite, procesa ni almacena datos de tarjeta) pero sin cuya existencia la transacción no podría acometerse. No pasan datos de tarjeta, pero si ese sistema es atacado o su disponibilidad cae podría caer todo el proceso de negocio de tarjetas. Si este sistema está en un segmento de red aparte de los sistemas que almacenan procesan, transmiten datos de tarjeta, estaría fuera del alcance del cumplimiento de PCI DSS?
- Segunda: mirando sobre el alcance de PCI DSS, existen algunos sistemas como por ej. El DNS por los que no pasan, transmiten o se almacenan datos de tarjeta pero que sí están implicados en el cumplimiento de los requisitos de PCI DSS respecto de los sistemas que si están afectados por datos de tarjeta.
Tal como veis otros sistemas que pudieran estar implicados son sistemas autenticación (DNS), servidores NTP… etc. Cuando se define el alcance de PCI DSS sobre el que luego se va a hacer una auditoria PCI DSS estos sistemas no se ven dentro de los “canales” por los que se transmiten, procesan o almacenan datos de tarjetas, ahora bien, si es necesario tenerlos en cuenta en cuanto a su funcionalidad y de cara a cumplir los requisitos de PCI DSS Ej. DNS para ver la autenticación (R. 8 y 9), servidores de back up para mirar back up (R.9), CPD 2 para ver si hay un DRP (R.12), servidores NTP y servidores de logs (R.10)… pero la pregunta es: ¿estos sistemas deben estar identificados como tal dentro del apartado de alcance del informe? ¿El meterlos dentro del alcance supone que estos servidores deban cumplir todos los requisitos de PCI DSS como el estar correctamente bastionados? Y lo más duro… ¿los segmentos de red donde están estos servidores deben ser escaneados y realizarse test de intrusión?
Mi opinión es la siguiente:
Entiendo que los sistemas que no trasmiten, procesan o almacenan datos de tarjeta, como propongo en el caso primero no deberían estar dentro del alcance de PCI DSS.
En cambio, en el segundo caso estos sistemas no estarían dentro de los canales de datos de tarjeta pero si dentro del alcance de PCI DSS únicamente en cuanto se vean afectados como sistemas auxiliares para el cumplimiento de ciertos requisitos PCI DSS y no como si fueran componentes de sistemas tal como define PCIDSS.
Por ejemplo un sistema de monitorización no debería cumplir todos los requisitos de PCI DSS pero si debería garantizar en su definición los requisitos del requerimiento 10 de PCI DSS: estar ubicado en un segmento de red interno, correctamente configurada la hora mediante NTP, garantizar integridad y disponibilidad de logs,…
Raúl Rodríguez Celaya
Departamento de Consultoría
Fuente: S21Sec
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!