Cualquier negocio que acepte tarjetas de crédito y débito y que esté utilizando (o piense hacerlo) redes LAN inalámbricas debería tener en cuenta las recomendaciones para que los pagos se hagan de manera segura.
La PCI (Paymente Card Industry) Security Standards Council acaba de publicar una guía con recomendaciones básicas para que los pagos realizados con tarjetas de crédito y débito mediante redes LAN inalámbricas sean seguros.
Esta misma organización habia establecido con anterioridad algunos estándares que han sido exigidos por Visa, MasterCard, bancos y otras empresas con el fin de garantizar el proceso de pago. El director técnico de esta organización, Troy Leach, recuerda que estas recomendaciones de la guía PCI Data Security Standard (DSS) Wireless Guideline no son obligatorias para las empresas que administren los pagos de tarjetas y empleen WLAN, pero “son, con toda probabilidad, las pautas básicas con las que todas estas infraestructuras deberían estar desplegadas”.
Así pues, aunque no su cumplimiento no sea obligatorio, esta guía completa otros 12 estándares DDS realizados por la propia PCI. Este conjunto de normas indica la dirección que, según la organización, deberían considerar todos los negocios para proteger los datos de los propietarios de las tarjetas de pago.
En la realización de esta guía se ha trabajado durante más de medio año y en ella han estado implicados unos 50 participantes. Uno de ellos es Doug Manchester, director de seguridad de producto en VeriFone Holdings, quien señala que esta guía es específica para redes WLAN por lo que no incluye tecnologías como Bluetooth (de hecho, se espera que en el futuro también se publiquen recomendaciones para estas otras tecnologías). En cualquier caso, el objetivo es aclarar algunas cuestiones y establecer un “vocabulario común”. “Esta guía es para los administradores de red y TI, para que sepan cómo implantar redes inalámbricas”, defiende Manchester.
Así pues, uno de los objetivos de control básico en el proceso de los datos del propietario de la tarjeta es establecer lo que se denomina con entorno de datos del propietario (cardholder data environment, CDE). Es decir, proteger los datos del usuario cuando se transfieren, se procesan o se almacenan.
Además, incluso aunque una empresa no utiliza puntos de acceso inalámbricos LAN, la recomendación es que se compruebe regularmente la posible presencia de puntos de acceso fraudulentos, definidos como “dispositivos inalámbricos no autorizados que pueden acceder al CDE”. Para combatir el problema de estos puntos de acceso fraudulentos, las empresas deben utilizar un analizador inalámbrico u otras medidas preventivas, comos sistemas de prevención y detección de intrusiones (IDS/IDP) en cualquier localización CDE.
Esta organización también recomienda a las grandes empresas establecer escaneos automáticos utilizando un sistema IDS/IPS central. El reto debería ser eliminar cualquier amenaza de manera inmediata y volver a escanear la red. La guía también siguiere tener un plan de respuesta ante incidentes.
Se debería utilizar un cortafuego en las redes inalámbricas aisladas, aunque no transmitan, almacenen o procesen datos de tarjetas de crédito, según estas mismas recomendaciones, que también establece que estas mismas redes deben ser capaces de filtrar paquetes basándose en el protocolo 802.11, inspeccionar las conexiones y hacer un seguimiento del tráfico permitido y denegado por el cortafuegos según las reglas DDS de la propia PCI. Los registros del cortafuegos también deberían ser revisados todos los días y verificadas las reglas del cortafuegos al menos cada seis meses.
