Políticas de Seguridad, Frameworks y Auditoría

12 de febrero de 2020

Caso
“Gourmet Master Tapas”

Objetivos:
1. Aplicar los requisitos de PCI DSS en el estudio del caso
2. Aplicar procesos de pensamiento analítico a los parámetros
del caso suministrados

Su equipo es el asesor de seguridad y debe evaluar la

información proporcionada para determinar si a) los requisitos
de PCI DSS se cumplen total o parcialmente
b) existen consideraciones que pueden afectar la
implementación de los requisitos de PCI DSS

Si bien este es un estudio de caso que intenta reflejar una

situación del mundo real, la información proporcionada es sólo
una fracción de lo que un evaluador puede encontrar /
necesitar para realizar su revisión durante una evaluación
real, por lo que dentro del objetivo 2) se espera que piense o
sugiera parte de la información que necesitaría solicitar para
realizar una buena evaluación.

Descripción del negocio

a) Gourmet Master Tapas (GMT) tiene su sede en Logroño, al
norte de España, y es líder en la categoría de restauración
gourmet rápida. GMT opera desde sus oficinas centrales y
centros de datos ubicados también en Logroño, La Rioja.
Opera 442 bares de tapas en toda Europa y es un comerciante

GOURMET MASTER TAPAS 1

 de Nivel 1 según la cantidad de transacciones que procesan
anualmente. Los sistemas de punto de venta (POS) en sus
bares de tapas aceptan transacciones de tarjetas presentes
usando tarjetas EMV con terminales compatibles con Chip +
PIN. GMT también ofrece servicios de catering para sus
clientes. Pueden pedir tapas de una extensa lista para
recogerlas en un bar de tapas cercano o las tapas pueden ser
entregadas en sus casas con el servicio "GMT fast bikers".
En el caso de un pedido de recogida en local, los clientes
pagan en sus bares de tapas lo mismo que un cliente normal
en local, por lo que se trata como una transacción estándar
de tarjeta presente.
b) Para pedidos de entrega a domicilio, GMT proporciona métodos
de tarjeta no presentes a sus clientes a través de:

c) Sitio web de GMT

d) Pedidos telefónicos a un call center ubicado en Logroño.
Aquí, el personal del centro de llamadas utiliza el sitio
web de GMT para reservar pedidos, por lo que ambas
situaciones se consideran transacciones con tarjeta no
presente.

Todas las transacciones con tarjeta presente en GMT se

transmiten al banco adquirente de GMT a través de su
conectividad con TriForce, una pasarela de pago compatible con
PCI DSS. El centro de datos TriForce se encuentra en Toulouse,
Francia, y está conectado a todos los restaurantes GMT a
través de 2 rutas seguras. La ruta principal es un acceso a
Internet ADSL que utiliza cifrado IPSEC para proteger los
datos. La ruta secundaria es a través de la conectividad móvil
4G, nuevamente usando IPSEC para asegurar la transmisión de
datos. Esta ruta secundaria solo se usa como un sistema
alternativo si la conectividad primaria IPSEC ADSL no está

GOURMET MASTER TAPAS 2

disponible. TriForce no almacena ningún dato del titular de la
tarjeta en nombre de GMT y solo actúa como una puerta de
enlace para enviar sus transacciones al Banco adquirente.

Para las transacciones con tarjeta presente, todos los datos

del PIN block y / o CVV, cuando sea necesario, pasan por
entornos GMT y TriForce desde bares de tapas GMT hasta el
Banco. Obviamente, los datos PIN están encriptados de extremo
a extremo, desde el sistema POS hasta el Banco. En ningún
momento se manipulan, escriben o descifran datos PIN o CVV.
Para las órdenes de entrega, las transacciones con tarjeta no
presente, todos los datos del cliente se ingresan manualmente
en el sitio web y, cuando se trata de un pedido por teléfono,
los empleados del centro de atención telefónica de GMT
ingresan manualmente en el sitio web los mismos datos
proporcionados por el cliente a través del teléfono. Toda la
conectividad al sitio web de GMT está asegurada por TLS 1.1.

El sitio web es mantenido por un proveedor de servicios

llamado WebWeapon y reside en la plataforma del proveedor de
servicios. WebWeapon también mantiene bases de datos y equipos
en su propio centro de datos. Los datos de PAN, fecha de
vencimiento y CVV se almacenan en una base de datos Oracle con
cifrado AES256. WebWeapon está obligado por el SLA (Service
Level Agreement) que tienen con GMT a mantener el cumplimiento
de PCI-DSS en sus sistemas y servidores. La última revisión de
WebWeapon, de acuerdo con la lista de proveedores de servicios
que cumplen con Visa, para el cumplimiento de PCI-DSS fue hace
3 meses por una compañía QSA.

Como para el servicio de entrega los clientes a veces hacen

pedidos con varios días de anticipación y realizan cambios
frecuentes en los pedidos, los datos del titular de la tarjeta

GOURMET MASTER TAPAS 3

se almacenan con autorización previa en las bases de datos
Oracle de WebWeapon con cifrado AES256. El día de la entrega,
el bar de tapas de GMT que llena el pedido recibe una copia
impresa del sistema WebWeapon. En el momento de la entrega, el
empleado de “GMT Fast Bikers” verifica visualmente el recibo
del cliente para confirmar que todo está bien. No se imprimen
los datos del titular de la tarjeta en el recibo.

Tampoco se almacenan los datos del titular de la tarjeta en

los bares de tapas GMT. Los sistemas de punto de venta pueden
recopilar datos de chips o bandas magnéticas o, como último
procedimiento alternativo, pueden ingresar manualmente la
información de la tarjeta. Los datos del titular de la tarjeta
en el sistema POS están en la memoria volátil hasta que
reciben una respuesta que autoriza o rechaza la transacción y,
cuando se completa, el sistema POS borra por completo toda la
memoria volátil. No se almacenan ni escriben datos de
seguimiento, PAN ni ninguna otra información confidencial en
ningún otro lugar, pero se utiliza memoria volátil durante el
procesamiento de transacciones.

GOURMET MASTER TAPAS 4

GOURMET MASTER TAPAS 5
GOURMET MASTER TAPAS 6
Connectividad

Conexión a Internet: Las oficinas centrales de GMT tienen 2

procedimientos para la conectividad a Internet. Primero, todos
los comercios de GMT se conectan de forma segura a través de
la conectividad de internet IPSEC al centro de datos TriForce.
Esta es la ruta principal utilizada por todos los restaurantes
al procesar transacciones con tarjeta presente. Webweapon
mantiene el sitio web de GMT en su centro de datos. Toda la
conectividad de los clientes de GMT o los empleados del centro
de llamadas de GMT que utilizan el sitio web de catering se
realiza a través de una conexión a Internet SSLv3 a los
servidores web de Webweapon.

Conexión privada : aunque no se refleja en su gráfico de red

corporativa, GMT mantiene una conexión primaria, T1 / Frame
Relay con el centro de datos TriForce. Esta conexión está en
un circuito privado arrendado entre GMT y TriForce.

Conexiones 4G: Todos los bares de tapas GMT se conectan

también a través de enrutadores 4G al centro de datos
TriForce. Esta es la ruta secundaria para procesar
transacciones y sólo es utilizada cuando la conexión IPSEC a
Internet de Triforce falla.

Conectividad LAN: Toda la conectividad entre el entorno para

el titular de la tarjeta en GMT y su entorno corporativo se
controla mediante el uso de conmutador VLAN, firewall ACL,
autenticación de doble factor y controles de acceso a la
cuenta de usuario.

Segmentación de red: El entorno para el titular de tarjeta en

GMT, que incluye sus bares de tapas y su conectividad con

GOURMET MASTER TAPAS 7

TriForce, está lógicamente separado de todos los demás
recursos de red corporativa de GMT, incluidas todas las demás
redes corporativas, redes de prueba / desarrollo, etc. Las
zonas de seguridad se implementan utilizando múltiples
firewalls. Los datos del titular de la tarjeta se procesan y
transmiten solo dentro del entorno segmentado del titular de
la tarjeta y no hay almacenamiento de datos del titular de la
tarjeta en ningún lugar en ningún sistema o servidor GMT.

Redes Wireless y/o aplicaciones Wireless: No hay LAN, redes o

aplicaciones inalámbricas en el alcance para GMT. GMT mantiene
entornos de LAN inalámbrica 802.11ac dentro de las oficinas
corporativas. Los empleados utilizan estos entornos para
conectarse a la red corporativa de GMT cuando se encuentran en
salas de conferencias, patio u otras áreas no cableadas. GMT
considera que estas redes inalámbricas están fuera del alcance
de la evaluación debido a los controles de seguridad, los
controles físicos y la segmentación lógica de la red que
controla todos los flujos de tráfico hacia y desde estas redes
inalámbricas. En ningún momento se almacenan, procesan o
transmiten los datos del titular de la tarjeta a través de una
LAN inalámbrica, red de instalaciones o aplicaciones en
cualquier lugar del entorno de GMT.

Entorno de Datos del titular de tarjeta (CHD)

Flujo de datos

Aceptación de la transacción
GMT acepta transacciones de tarjetas presentes de sus clientes
en los bares de tapas. Cualquier pedido de catering de entrega
se considera técnicamente como pedidos con tarjeta no
presente, ya que los datos del titular de la tarjeta son

GOURMET MASTER TAPAS 8

ingresados inicialmente en el sitio web por el cliente o por
el personal del centro de llamadas de GMT. El día de la
entrega del pedido, todos los datos correspondientes a los
pedidos de catering se ingresan manualmente en el sistema POS
de la barra de tapas y luego se procesan de la misma manera
que una transacción estándar de tarjeta presente. Para todas
las transacciones, el sistema POS de tapas bar procesa la
transacción y reenvía la solicitud de autorización al Banco
adquirente de GMT a través del centro de datos TriForce en
Toulouse. La conectividad primaria a Triforce se realiza a
través de una conexión a Internet IPSEC utilizando ADSL,
fibra, etc., desde la barra de tapas hasta el ISP local. La
conectividad secundaria es con 4G, el servicio es gestionado,
operado, controlado y securizado por Triforce bajo contrato
con GMT.

Informes, compensación y liquidación

Con la excepción de las órdenes de entrega de comidas, en la
mayoría de los casos, las transacciones de GMT son compensadas
y liquidadas en tiempo real por el Adquirente sin necesidad de
que un empleado de GMT se involucre o vea los datos de los
titulares de tarjetas. A veces (actualmente 10 veces por
semana), tres personas del departamento de contabilidad de GMT
con acceso a los sistemas de back-end del adquirente a través
de una interfaz web necesitan actuar en pedidos del cliente
para borrar, cancelar, liquidar o volver a procesar el pedido,
etc. En raras ocasiones, estos empleados pueden imprimir
informes que contienen números de tarjeta.
La política de GMT establece que estos informes impresos deben
manejarse de la siguiente manera:

GOURMET MASTER TAPAS 9

A) el personal de contabilidad elimina los últimos 4 dígitos
del número de tarjeta en la documentación original,
fotocopia el documento y luego tritura el original
B) El recibo generado se adjunta a la versión de copia de la
documentación con el número de tarjeta oculto y se retiene
durante 6 meses
C) Después de 6 meses, estos documentos se trituran

Autenticación y autorización

Los sistemas informáticos de back-office de GMT solo almacenan

datos de seguimiento, PAN, fecha de vencimiento, bloqueo de
PIN, CVV, etc. en memoria volátil hasta que el adquirente
autorice o rechace la transacción. Una vez que se completa el
proceso, sólo se almacenan los últimos 4 dígitos de PAN en los
sistemas POS junto con el transaccional y los datos del
registro de transacciones.

Recopilación y almacenamiento de datos

La corporación de Gourmet Master Tapas transmite todas las

transacciones de los clientes a su adquirente a través de
TriForce usando el acceso primario o secundario. Una vez que
se completan las transacciones, toda la memoria en los
sistemas POS y en los sistemas de back office se borra por
completo para eliminar la información de las lecturas de banda
magnética, chip, PAN y otros datos confidenciales previamente
almacenados. Los datos del titular de la tarjeta nunca se
escriben, almacenan o mantienen permanentemente en ningún
sistema o servidor GMT.

Proveedores

GOURMET MASTER TAPAS 10

Esta tabla detalla todos los proveedores de servicios y
entidades con los que la compañía comparte los datos del
titular de la tarjeta (están sujetos al requisito 12.8 de PCI
DSS)

Service provider Type of service

Webweapon Website and catering orders website

Zero Mountain Off-site storage of back-up tapes

Confetti’s On-site paper shredding

Telco Cybercenter Disaster reconery datacenter facility

TriForce Central connectivity to all tapas bars

GOURMET MASTER TAPAS 11

Requisitos del trabajo

Lea el estudio del caso completo cuidadosamente, tomando

notas para comprender bien el entorno GMT
Todas las preguntas se basan en la información proporcionada
en páginas anteriores. Si cree que no existe dicha
información o no hay suficiente detalle, haga lo que
considere apropiado teniendo en cuenta que usted es el
auditor de PCI DSS

PREGUNTAS CASO DE ESTUDIO

Asegúrese de responder las respuestas a estas preguntas en su

informe sobre Gourmet Master Tapas y proporcione
justificaciones para cada respuesta. Incluya cualquier
información / comentario adicional que pueda considerar
relevante:

1. Qué redes / sistemas están dentro del alcance?

2. Se cumplen los requisitos 3.1, 3.2 y 4.1?

3. Cuáles son las responsabilidades de GMT para el requisito

PCI DSS 6.5?

4. Se cumple el requisito 8.3 para la securización de accesos

remotos?

5. Qué controles son necesarios para cumplir con el requisito

9.1 en los bares de tapas?

6. Con respecto a los dispositivos de punto de venta (POS), qué

debe registrarse y cómo difiere respecto a los ordenadores

GOURMET MASTER TAPAS 12

 de back-office que transmiten los datos del titular de la
tarjeta al procesador?

7. Considere si hay otros sistemas que necesitan cumplir con

los requisitos de registro de PCI DSS

8. Alguna consideración de seguridad respecto a redes wireless?

9. Deberían los empleados de TriForce asistir a la formación de

concienciación sobre seguridad de GMT??

10.Qué información adicional, si hay alguna, se requiere para

evaluar el requisito 12.8?

GOURMET MASTER TAPAS 13