Hay una nueva versión de la norma de la industria de tarjetas de pago de la seguridad de red -PCI 3.0- del grupo que supervisa su publicación, PCI Security Standards Council.
Si su empresa acepta o procesa tarjetas de pago, esto es lo que hay de nuevo y lo que necesita saber:
• Ponga en práctica un método para hacer pruebas de penetración de los segmentos de red que se utilizan para almacenar o procesar tarjetas de pago. Esta área de la red se llama “alcance de PCI” en la jerga de los estándares PCI y pruebas de conformidad. Según el gerente general del concejo, Bob Russo, la idea es que tiene que “demostrar evidencia de que el entorno PCI es verdaderamente inaccesible para el resto de la red”. Él dice que esto es un nuevo requisito, ya que no ha habido suficientes pruebas de la red interna.
Pero el concejo no planea tener una lista de productos o servicios de penetración de ensayo, porque se asume que la organización puede hacer esto por su cuenta. “Esto es algo nuevo y requerirá un trabajo adicional de los proveedores de servicios y comerciantes”, señala Rodolphe Simonetti, director general de los servicios de la industria de tarjetas de Verizon, sobre el nuevo requisito de PCI. Él agrega que el objetivo de las pruebas de penetración PCI es “validar el alcance”; y, básicamente, que se podría hacer a través de métodos de piratería ‘White Hat‘ para ver si es posible irrumpir en un segmento de red PCI definido. Simonetti también señala que el uso de cifrado punto a punto es una manera de definir el “alcance” de la red, y Verizon cree que el cifrado P2P jugará un papel más importante en el futuro, especialmente en el procesamiento de los pagos móviles.
• Las consideraciones de seguridad física relacionadas con los datos de tarjetas de pago reciben más atención en PCI 3.0. Troy Leach, CTO en el concejo, señala que un nuevo requisito implica “la prueba del sentido común y la búsqueda de la manipulación física de los sistemas en el entorno minorista y las transacciones cara a cara”. Esto especialmente se refiere a los sistemas físicos de punto de venta, donde se espera que las recomendaciones que se llevan a cabo eviten que los datos de la tarjeta sean absorbidos por los ladrones. Esto podría incluir cosas tan simples como revisar regularmente el dispositivo de punto de venta para ver si los cables conectados han sido manipulados. Esto va para los más pequeños, así como para los comerciantes más grandes, señala Troy. Agrega que los Asesores de Seguridad Calificados (QSA) que llevan a cabo evaluaciones formales para los efectos de cumplimiento de PCI, pueden preguntar en el futuro acerca de qué programas existen para educar al personal acerca de la clonación de tarjetas y el fraude.
• La seguridad de las aplicaciones es también un área en la que el concejo está poniendo más énfasis, sobre todo en las directrices de PCI. Russo señala que ha estado consternado de que tantos desarrolladores de software no solo no hayan oído hablar de las normas PCI, sino que ni siquiera saben acerca de las vulnerabilidades de las aplicaciones enunciadas por la Open Web Application Security Project, o SANS Institute. Pero estos defectos de aplicación están siendo explotados por los atacantes para robar datos de tarjetas de pago, señala. En PCI 3.0, las organizaciones tendrán que demostrar que probaron las solicitudes de tarjetas de pago para soportar fallas de seguridad conocidas, y que han utilizado prácticas seguras de codificación de la industria. Esto significa también la verificación de la integridad del código fuente durante el proceso de desarrollo. En virtud de las normas PCI, los vendedores con acceso remoto a las instalaciones del cliente para el soporte y el mantenimiento, por ejemplo, deben utilizar credenciales de autenticación únicas para cada cliente.
• El acceso remoto y la autenticación en general también tienen algunos cambios y aclaraciones con respecto a la versión anterior de la norma PCI 2.0. Los proveedores de servicios tienen que utilizar las credenciales de autenticación únicas para cada cliente si no las tienen ya. Y los tokens de seguridad física y lógica, tarjetas inteligentes y certificados también deben estar vinculados a una cuenta individual, y asegurar que solo el usuario previsto pueda tener acceso. Esto podría provocar cambios de cómo algunas redes utilizan el acceso administrativo basado en el cifrado SSH, por ejemplo.
• La protección anti-virus ha sido durante mucho tiempo un requisito previsto en la normativa PCI, pero en PCI 3.0, el concejo añade algunos matices sobre la lucha contra el malware. Preguntas han llegado cuando QSA entra en los centros de datos donde hay una computadora central que no tiene el software antivirus, por ejemplo; y la pregunta es si el sistema podría verse afectado por el malware, señala el CTO Leach. Las preguntas prácticas sobre la gestión de riesgos en estos casos no solo significa recurrir a enfoques antivirus que no son tradicionales, sino al uso de “controles de compensación” y simplemente continuar “la evaluación de la evolución de las amenazas de malware para cualquier sistema no considerado como comúnmente afectado”.
Russo señala que PCI 3.0 entrará en vigor el 1 de enero del 2014, pero los comerciantes y proveedores de servicios “todavía tienen un año para seguir con la antigua versión” de la norma. El concejo, que comenzó en el año 2006 por las asociaciones de tarjetas incluyendo Visa y MasterCard, cuenta con más de 650 organizaciones participantes, incluyendo comerciantes, bancos, procesadores y proveedores. El concejo dice que tomó dos años en introducir el PCI 3.0 a alrededor de 1.700 asistentes a las reuniones de la comunidad de todo el mundo.
Preocupaciones PCI
Algunos expertos en seguridad señalan que lo que no ven en el nuevo estándar PCI v 3.0 es lo que resalta para ellos.
Greg Rosenberg, ingeniero de seguridad de Trustwave, expresó su decepción porque PCI 3.0 no contiene ninguna orientación específica sobre las aplicaciones móviles de pago, un área de gran interés para los bancos y los comerciantes.
“La arquitectura de los dispositivos móviles es diferente”, comenta Rosenberg, y señaló que los teléfonos inteligentes y tabletas que se pueden utilizar para el procesamiento de pago con tarjeta, introducen una nueva gama de productos -y nuevas amenazas dirigidas a explotarlos. “¿Cómo extiendo el análisis de vulnerabilidades móviles?”
Rosenberg señala que hay mucha discusión en la industria ahora sobre cómo proteger adecuadamente el móvil bajo las directrices del PCI, pero está decepcionado porque el concejo no aceptó ese tema específicamente en PCI 3.0. A lo sumo, la industria hoy en día se ve las “mejores prácticas” publicadas por el concejo hace más de un año por separado de la movilidad fuera de la norma PCI.
La industria necesita que el concejo excave más profundamente en la cuestión de la movilidad relacionada con PCI, señala Rosenberg, añadiendo que las batallas en curso entre las asociaciones de tarjetas de pago y otros a través de las estrategias de pago móvil pueden perder fuerza por la capacidad del concejo para ser más concluyentes sobre la seguridad móvil. Él cree que hay una “brecha” en la actualidad y que sin la guía de PCI, el peligro es que muchos desarrolladores no puedan tomar medidas para asegurar el procesamiento de tarjetas de pago móvil.
Consultado sobre la movilidad, Russo y Leach del concejo de PCI, reconocen que PCI 3.0 no señala a la movilidad en un comentario especial, pero que no diga nada en PCI 3.0 tampoco significa que no se aplica a los móviles.
-Ellen Messmer, Network World
