Estndar PCI-DSS V2.

0 Curso: Seguridad de la Informacin

Ciclo 2013-1 21 de mayo de 2013

Preparado por:

U201114806 Joseph Alfaro Soto U201201042 - Edwin Rivera Pacherres U201100726 - Noem Torres Gallardo

Revisado por: Hernn Seminario Garca Profesor del Curso

ndice

1. 2. 3.

Introduccin ................................................................................................................................3 Antecedentes .............................................................................................................................3 Objetivos .....................................................................................................................................5 3.1 3.2 Generales: ..........................................................................................................................5 Especficos: ........................................................................................................................5

4. 5. 6. 7. 8. 9.

Alcance........................................................................................................................................5 Contenido....................................................................................................................................7 Conclusiones ........................................................................................................................... 18 Recomendaciones .................................................................................................................. 19 Bibliografa ............................................................................................................................... 21 Glosario de trminos .............................................................................................................. 21

1. Introduccin De cara a la seguridad del propio cliente como a la seguridad propia de la compaa, las empresas que trabajan con datos de tarjetas deben cumplir una serie de requisitos de seguridad. La funcin de los miembros del PCI Security Standards Council es la de supervisar y definir normas de seguridad de datos (PCI DSS), requisitos de seguridad de transacciones con PIN (PCI PTS) y elaborar la norma de seguridad para la aplicacin de pagos(PA-DSS). Las Normas de Seguridad de Datos (DSS) de la Industria de Tarjetas de Pago (PCI) se desarrollaron para fomentar y mejorar la seguridad de los datos del titular de la tarjeta y para facilitar la adopcin de medidas de seguridad consistentes a nivel mundial. Las PCI DSS proporcionan una referencia de requisitos tcnicos y operativos desarrollados para proteger los datos de los titulares de tarjetas. En el presente trabajo se recogen los conceptos importantes de Las Normas de Seguridad de Datos (DSS) de la Industria de Tarjetas de Pago (PCI), sus caractersticas y el conjunto de requisitos que la constituyen. Tambin se adjunta un caso prctico simulado con el escenario del esfuerzo que se realiza para cumplir unos requerimientos de PCI DSS. 2. Antecedentes El mercado de la industria de tarjetas de crdito crece cada ao y ms con el auge del comercio electrnico, con esto se acrecienta los fraudes por este medio y otros dentro de las propias empresas que trabajan con datos de tarjetas. Con el fin de proteger la informacin de los datos de estos plsticos, las marcas (American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa, Inc) forman el consejo de Normas de Seguridad del sector de medios de pago responsable del estndar PCI DSS. La aplicacin de esta norma PCI DSS es muy importante para fortalecer la seguridad contra las vulnerabilidades que pudiera aprovechar cualquier intruso para violar la integridad, confidencialidad y disponibilidad de la informacin de la informacin de datos de titulares de tarjetas para hacer fraudes y/o robos.
3

o SUSTENTO 1

o SUSTENTO 2

Segn lo indica su pgina web, PCI Security Standards Council es un foro mundial abierto establecido en el 2006, cuya misin es la de aumentar la seguridad de la industria de las tarjetas de pago, proteger al usuario y disminuir el fraude de tarjetas de pago. Las empresas fundadoras de esta organizacin son American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa, Inc. Estas empresas unificaron sus requisitos propios de seguridad en un nico punto con el fin de facilitar el cumplimiento en materia de seguridad. Actualmente, todas
4

ellas comparten de manera ecunime el control de la organizacin as como aquellas actividades relacionadas con la seguridad en la industria de las tarjetas de pago. PCI DSS ver 1.0 de Enero de 2005 es la evolucin del estndar de VISA. Luego, en septiembre del 2006 se public la versin 1.1. Seguida, por la versin 1.2 vigente a partir de Octubre del 2008. A finales de 2010 el PCI Security Standards Council public la versin 2.0 del PCI DSS y PA-DSS, respondiendo a la necesidad de mayor comprensin y flexibilidad de las normas, as como facilitando su aplicacin en las organizaciones. 3. Objetivos
3.1 Generales:

Identificar el alcance de la norma PCI DSS Conocer los actores en los medios de pago con tarjetas y sus roles

3.2 Especficos:

Conocer quines deben cumplir con la norma PCI-DSS Conocer que se debe proteger para cumplimiento de la norma PCI-DSS Conocer las variantes del cambio de versin Identificar los pasos para obtener el cumplimiento de la norma PCI DSS Presentar un caso prctico simulado para entender el nivel de esfuerzo que se realiza para cumplir con algunos requisitos.

4. Alcance Dentro de PCI DSS, el alcance resulta un factor importante al momento de establecer los sistemas de informacin que van a ser afectados por el cumplimiento de los requisitos de PCI DSS. Para determinar cmo afecta PCI DSS a las empresas, es necesario llevar a cabo una evaluacin que permita conocer cmo los datos de los titulares de las tarjetas de pago fluyen a travs de la organizacin y analizar dnde es crtico el almacenamiento, procesamiento o tratamiento de esta informacin, eliminando aquellos que sean crticos y la norma lo exige.

El alcance de la norma PCI DSS es sobre la informacin de titulares de tarjetas de crdito clasificada en 2 grupos: Informacin de titulares (los datos de los titulares de tarjetas) e Informacin sensible de autenticacin (los datos credenciales de autenticacin).

El documento de requisitos y procedimientos de evaluacin de seguridad versin 2.0 indica textualmente: El nmero de cuenta principal es el factor que define la aplicabilidad de los requisitos de las PCI DSS. Los requisitos de las PCI DSS se aplican si se almacena, procesa o transmite un nmero de cuenta principal (PAN). Si un PAN no se almacena ni procesa ni transmite, no se aplican los requisitos de las PCI DSS. Si el nombre del titular de la tarjeta, el cdigo de servicio y/o la fecha de vencimiento no se almacenan ni procesan ni transmiten con el PAN, ni estn presentes de alguna otra manera en el entorno de datos de titulares de tarjeta, se deben proteger de acuerdo con todos los requisitos de las PCI DSS, a excepcin de los Requisitos 3.3 y 3.4, que slo se aplican al PAN. Las PCI DSS representan un conjunto mnimo de objetivos de control que puede ser reforzado con leyes y regulaciones locales, regionales y sectoriales. Adems, la legislacin o las regulaciones pueden requerir proteccin especfica de la informacin de identificacin personal u otros elementos de datos (por ejemplo, el nombre del titular de la tarjeta), o definir las prcticas de divulgacin de una entidad en lo que respecta a la informacin de los consumidores. Entre los ejemplos est la legislacin relacionada con la proteccin de los datos de los consumidores, la privacidad, el robo de identidad o la seguridad de los datos. Las PCI DSS no sustituyen

las leyes locales ni regionales, las regulaciones del gobierno ni otros requisitos legales. El entorno de los datos de los titulares de las tarjetas consta de personas, procesos y tecnologa en todos los componentes que almacenan, procesan o transmiten datos de los titulares de tarjetas o datos confidenciales de autenticacin. Los componentes de la red incluyen, a modo de ejemplo: firewalls, switches, routers, aps inalmbricos y otras aplicaciones de seguridad. Los tipos de servidores incluyen, a modo de ejemplo: web, aplicacin, base de datos, autenticacin, correo electrnico, proxy y servidor de nombre de dominio (DNS). Una vez identificados todos los flujos, es importante buscar las reas donde pueden consolidarse datos de tarjetas de pago y/o eliminarlos. Con esta informacin se consigue determinar el alcance de PCI DSS, teniendo en cuenta que cualquier otro sistema, que se encuentre en la misma zona de red que los componentes identificados en los flujos, tambin se encontrar dentro del alcance de PCI DSS. Se analiza la informacin y se aplica las restricciones indicadas en la norma, donde exista datos de titulares de tarjetas para garantizar la proteccin y se verifica no exista lo que exige la norma. 5. Contenido PCI DSS, en su idioma nativo (Ingls): Payment Card Industry Data Security Standard, significa Estndar de Seguridad de Datos para la Industria de Tarjeta de Pago. Este estndar ha sido desarrollado por un comit conformado por las compaas de tarjetas de crdito ms importantes, comit denominado PCI SSC (Payment Card Industry Security Standards Council) como una gua que ayude a las organizaciones que procesan, almacenan y/o transmiten datos de

tarjetahabientes (o titulares de tarjeta), a asegurar dichos datos, con el fin de prevenir los fraudes que involucran tarjetas de pago dbito y crdito. ACTORES Los actores relacionados a la industria de tarjetas de crdito son:
7

Industria de las tarjetas de crdito - Fundadores del Consejo de Estndares de Seguridad PCI son Visa, Mastercard, Amex, Discover, JCB y marcas.

Bancos emisores (Issuer) / Bancos adquirientes (Adquirer) / Miembros de bancos.- Deben exigir el cumplimiento de PCI de los comerciantes y proveedores de servicios que operan tarjeta de crdito.

Los comerciantes (Merchant) y prestadores de servicios.- Deben cumplir con PCI, independientemente del canal. Nuestros clientes (Cardholder = Titular de la tarjeta).- que le deben garantizar la proteccin de sus datos.

Quines deben cumplir la norma? Las compaas que procesan, guardan o trasmiten datos de tarjetas, deben cumplir con el estndar o arriesgan la prdida de sus permisos para procesar las tarjetas de crdito y dbito (Perdida de franquicias), enfrentar auditoras rigurosas o pagos de multas. Los Comerciantes y proveedores de servicios de tarjetas de crdito y dbito, deben validar su cumplimiento al estndar en forma peridica.

Qu se debe proteger para cumplir la norma PCI-DSS? De manera ilustrativa se presenta en siguiente cuadro, los requisitos que aplican a cada elemento de datos que se debe proteger para cumplimiento de la norma:

El documento de requisitos y procedimientos de evaluacin de seguridad versin 2.0 indica textualmente: Los requisitos 3.3 y 3.4 de las PCI DSS slo se aplican al PAN. Si el PAN se almacena con otros elementos de los datos del titular de la tarjeta, nicamente el PAN debe ser ilegible de acuerdo con el Requisito 3.4 de las PCI DSS. Las PCI DSS slo se aplican si los PAN se almacenan, procesan y/o transmiten. REQUISITOS PCI Los requerimientos de PCI estn organizados en 6 categoras clasificadas en Qu hacer? y Con qu hacerlo? como se indica en siguiente grfica.

En las categoras del Qu hacer?, estn las categoras para Proteccin de datos, Disponibilidad (Control de accesos) y Polticas de Seguridad.

En las categoras del Con qu hacerlo?, estn las categoras para Infraestructura (red segura), Aplicaciones (vulnerabilidad) y Redes (supervisin redes).

10

En resumen, la versin actual de la norma PCI-DSS (v.2.0) especifica 12 requisitos para el cumplimiento, organizados en 6 categoras relacionadas lgicamente, que son llamadas "objetivos de control."

Se adjunta detalle de los requisitos con cada uno de sus controles del documento PCI DSS [pci_dss_v2-0 (ESPAOL).pdf]. Tambin se adjunta documento resumen comparativo de cambios de la versin anterior (1.2.1) de PCI con la ltima versin 2.0. [en archivo PCI_DSS_v2-2 (RESUMEN DE CAMBIOS).pdf] Para cumplir con PCI DSS Se debe cumplir con PCI DSS se deben seguir las instrucciones y pasos de la norma como se indica: Instrucciones de cumplimiento PCI Se debe elaborar un informe de acuerdo al formato indicado en la norma. El contenido del informe debe seguirse de acuerdo a las instrucciones del estndar. Se resumen los tems que deben contemplar: 1. Resumen ejecutivo 2. Descripcin del alcance del trabajo y del enfoque adoptado 3. Informacin sobre el entorno evaluado 4. Informacin de contacto y fecha del informe
11

5. Resultados del anlisis trimestral 6. Conclusiones y observaciones

Pasos para completar el cumplimiento de las PCI DSS

1. Complete el Informe de cumplimiento (ROC) 2. Asegrese de que un Proveedor Aprobado de Escaneo (ASV) de las PCI SSC complet los anlisis aprobados de vulnerabilidad y solictele pruebas al ASV de los anlisis aprobados. 3. Complete la Declaracin de cumplimiento para Proveedores de servicios o Comerciantes, segn corresponda, en su totalidad. Las Declaraciones de cumplimiento estn disponibles en el sitio web de las PCI SSC (www.pcisecuritystandards.org). 4. Presente el ROC, las pruebas del anlisis aprobado y la Declaracin de cumplimiento junto con todo otro documento solicitado al adquirente (en el caso de comerciantes), a la marca de pago o a todo otro solicitante (en el caso de proveedores de servicios).

Niveles de aplicabilidad Cualquier organizacin que est en el rubro de tarjetas que almacene, procese o transmita datos de tarjetas de crdito, debe cumplir niveles de aplicabilidad. Estos niveles estn clasificados, principalmente, de acuerdo a cantidad de transacciones que realizan, si el comercio ha sufrido compromiso de seguridad (Las estadsticas son anuales). Se aplican segn los siguientes cuadros:

12

QSA valida anualmente y es realizada por auditores autorizados Qualified Security Assessor (QSAs). Slo a las compaas que procesan menos transacciones por ao (segn cuadros) se les permite realizar una auto
13

evaluacin utilizando un cuestionario provisto por el Consorcio del PCI (PCI SSC). CASO PRCTICO PARA Cumplimiento PCI - REQUISITO 2.2 y 6.2 Para entender mejor como resolver algn requisito, se adjunta en el presente trabajo, un caso prctico donde se refleja el esfuerzo que se tiene que realizar para cumplir unos requisitos exigidos por la norma PCI DSS (es a modo de ejemplo, similar y no igual a un caso real por el compromiso de la confidencialidad que amerita). Se cubre 2 requisitos de la norma PCI DSS con la poltica Cumplimiento PCI REQUISITO 2.2 y 6.2: Poltica de Seguridad Actualizacin de ltimos parches de seguridad resaltado en siguientes imgenes de documentos originales:

14

No solo el documento PCI DSS indica resolver estas vulnerabilidades, las marcas Visa, Mastercard, tienen sus propias auditorias y requisitos que solicitan lo mismo como indico en las siguientes imgenes:

15

16

Cumpliendo con los requisitos de PCI DSS, tambin se estn cumpliendo requisitos de otras exigencias de seguridad (mostradas en imgenes previas). Es importante resaltar que PCI DDS solo se orienta a una parte de la empresa, es decir, solo a los componentes que tengan que intervenir con Informacin de titulares (propiamente dicha) e Informacin sensible de autenticacin. INCUMPLIMIENTO Si la entidad incumple con PCI DSS, estas estn sujetas a: Investigacin forence Multas que puede ser de 500,000$ por incidente de seguridad de datos o de 50,000$ por da de incumplimiento de los estndares publicados. Estas pueden cambiar en el tiempo. Responsabilidad por todas las prdidas incurridas como resultado de nmeros de cuenta robados Responsabilidad por todos los gastos asociado a la reemisin de las tarjetas de dichas cuentas Demandas Dao de imagen institucional Suspensin de cuentas comerciales con revocacin de privilegios de negocio de tarjetas de crdito.

17

VENTAJAS Los datos personales de los clientes estarn con mayor proteccin ante intensiones fraudulentas o robo de informacin. Se tendra clientes satisfechos con el nivel de seguridad que tenga la empresa, e incrementar la confianza. Imagen de la empresa realza la reputacin de su marca. PCI DSS da un anlisis completo para cualquier negocio que almacene o transmita informacin de sus clientes. Minimiza prdidas financieras o costes de compensacin. Se minimizaran los fraudes y robos de con los datos de tarjetas de crditos.

6. Conclusiones Es importante tener claro el alcance de la norma PCI DSS para lograr implementar correctamente lo que requiere la norma. Los actores que utilizan los datos de titulares de tarjetas deben cumplir con la responsabilidad de proteger los datos del titular y concientizar que no se guarde lo que prohbe la norma PCI DSS. La norma se aplica a toda las entidades que procesan, guardan o trasmiten datos de tarjetas sin excepcin. Cumplir PCI DSS no significa slo acreditarse o cumplir con las auditoras peridicas, sino establecer un estado en nuestro entorno de pago con tarjetas de Crdito que cumpla con el estndar en todo momento. De esta forma, en caso de producirse un incidente, la organizacin podr demostrar que estaba operando bajo los requerimientos establecidos por PCI DSS al producirse el incidente. PCI DSS aumenta la confianza de los clientes: un cliente que paga con tarjeta sabe que sus datos estn gestionados segn un estndar de seguridad. PCI DSS crea una cultura de seguridad en la organizacin. Del caso prctico: o Es de vital importancia mantener una poltica de seguridad de sistemas en las organizaciones, no solamente para proteger la informacin con que ellas trabajan, sino tambin en base a la informacin que el negocio gira.

18

o Se necesita que todas las reas de la organizacin estn involucradas en la toma de decisiones que finalice en la aplicacin de estas polticas, sobre todo de las altas autoridades, sin este apoyo no podra asegurarse la correcta aplicacin de las mismas. o Se necesita contar con las ltimas actualizaciones de las aplicaciones con que cuenta la organizacin, los cuales nos permitirn validar si es que alguna actualizacin de parches de seguridad pueda afectar las mismas, es importante que el o los proveedores mantengan actualizadas las versiones de sus aplicaciones. o En el proceso de aplicacin de la poltica de seguridad, corroboramos que an persisten vulnerabilidades, es por ello que su aplicacin debe de ser cclica, pues las amenazas que sufren los sistemas cambian da a da. o El aplicar una buena prctica de seguridad no implica un costo adicional, se puede heredar de los ejemplos de otras organizaciones y a partir de experiencias propias que puedan ocurrir modelar nuestra propia poltica de seguridad. PCI DSS es un Estndar y no es una gua de PCI SSC, con el objetivo de prevenir los fraudes de tarjetas La norma es mandatoria para toda entidades que procesan, almacenan o transmiten datos de titulares de tarjetas En caso de incumplimiento de la norma PCI DSS, se aplican severas multas, inclusive puede revocar la utilizacin de la tarjeta de crdito.

7. Recomendaciones

Cumplir con la Norma PCI DSS para garantizar la seguridad de los datos del titular de la tarjeta de crdito. No esperar suceda un incidente grave de seguridad para implementar seguridad de la empresa. Difundir la importancia de aplicar las normas de seguridad para tener un mejor control y minimizar los riesgos. Difundir se apliquen medidas de seguridad, as no sean exigidas por entes reguladores, debido que pueden ser atacadas por gente que realiza fraudes y robos.
19

Del caso prctico para cumplir con requerimientos PCI: Es importante contar con un inventario actualizado de las aplicaciones lo que permitir obviar alguna actualizacin necesaria lo que pudiera redundar en una vulnerabilidad no detectada El personal a cargo de la poltica debe de estar actualizado con respecto a las actualizaciones de los sistemas operativos con que cuenta la organizacin. De igual modo el personal a cargo debe estar al tanto de las adquisiciones de aplicaciones y evaluar las posibles vulnerabilidades que estas representen para la poltica de seguridad y realizar las acciones correctivas necesarias.

20

8. Bibliografa https://www.pcisecuritystandards.org/documents https://www.pcisecuritystandards.org/index.htm http://usa.visa.com http://www.mastercard.com http://sas-origin.onstreammedia.com/origin/isaca/LatinCACS/cacslat/forSystemUse/papers/241.pdf http://www.isecauditors.com/sites/default/isecauditors.com/files//files/SIC76_PCI-DSS_Como_cumplir.pdf 9. Glosario de trminos Se indican algunos trminos que se aplican en PCI DSS. Parches o Services Pack.- Actualizaciones de mejoras (funcionales, de seguridad, otros) en el sistema operativo y aplicaciones de acuerdo al fabricante, para corregir errores, agregarle funcionalidad, seguridad. Remediacin.- Corregir vulnerabilidades existentes en el sistema. Hotfix.- Se define como la correccin particular de la vulnerabilidad en nivel ms granular que el parche. Host.- Mquina conectada a una red, identificado con un nombre hostname y que puede representar una pc, un dispositivo de almacenamiento por red, una impresora, etc. Escano.- Tcnicas de bsqueda con diferentes herramientas para un objetivo determinado. Hardening.- Anlisis y remediacin de las vulnerabilidades existentes, aplicando mejores prcticas. Vulnerabilidad.- Debilidad en un sistema donde puede aprovechar un atacante para violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones. Testing.- Prueba tcnica cuyo objetivo es proporcionar informacin objetiva e independiente sobre la calidad del producto en base a pruebas a realizar, para verificar si cumple con los requerimientos solicitados. Polticas de Seguridad.- Cumplimiento obligatorio de un plan de accin contra riesgos de seguridad o mejoras. PCI-DDS (Payment Card Industry - Data Security Standard).- Documento que contiene las normas de seguridad de datos (DDS) de la Industria de
21

Tarjeta de Pagos (PCI), que contiene los requisitos y procedimientos de evaluacin de seguridad. Bancos emisores (Issuer).- Emisor de tarjetas de crdito. Bancos adquirientes (Adquirer).- Ofrece servicios de procesamiento de tarjetas de crdito. Qualified Security Assessor (QSA).- Asesor de seguridad PCI calificado

22