PCI DSS: ¿cómo cumplir? - Internet Security Auditors

ESTÁNDARES
PCI DSS: ¿cómo cumplir?
La seguridad relacionada con números de tarjeta de crédito supone un verdadero dolor
de cabeza para bancos, comercios, proveedores de servicios que operan en nombre
de los comercios y, por supuesto, para los propios clientes. Cada día se cometen
fraudes relacionados con tarjetas de crédito, debido a accesos de hackers a sistemas
que almacenan datos de tarjetas, que son robados y utilizados para cometer fraude.
Como respuesta por parte del sector, las marcas de tarjetas de crédito han creado el
conjunto de requerimientos de seguridad al que se ha denominado PCI
DSS (PCI Data Security Standard). El cómo abordar la implantación
de estos requerimientos es el objetivo de este artículo.
Miguel Ángel Domínguez Torres
¿QUÉ ES PCI DSS?
Antes de afrontar el proceso de implantación de los requerimientos(tabla1) PCI DSS,
es necesario que las empresas tengan el
conocimiento mínimo de qué y cómo se
aplica este estándar de seguridad.
PCI DSS es un estándar de seguridad
que define el conjunto de requerimientos para gestionar la seguridad, definir
políticas y procedimientos de seguridad,
arquitectura de red, diseño de software y
todo tipo de medidas de protección que
intervienen en el tratamiento, procesado
o almacenamiento de información de
tarjetas de crédito. Su finalidad es la
reducción del fraude relacionado con
las tarjetas de crédito e incrementar la
seguridad de estos datos.
PCI DSS es fruto del esfuerzo del PCI
Security Standards Council (PCI SSC1)
formado por las principales marcas de
tarjetas de crédito (Visa2, Mastercard3,
American Express4, JCB5 y Discover6).
Las organizaciones son catalogadas
en 3 tipologías:
• Comercios (super/hipermercados,
autopistas, comercio-e, agencias de viajes, etc.), en inglés merchants.
Tabla 1: Requerimientos PCIDSS
92
• Proveedores de servicios (ISP/ASP,
pasarelas de pago, fabricantes de tarjetas,
servicios de envío de tarjetas, procesadores
de transacciones, etc.), en inglés service
providers.
• Entidades financieras (bancos, cajas
de ahorro, entidades de crédito, etc.), en
inglés acquirers.
En la actualidad, dado que el negocio de tarjetas de crédito en España está
liderado por Visa y Mastercard, los comercios están recibiendo requerimientos de
cumplimiento PCI DSS por medio de las
entidades financieras que a su vez han sido
requeridas por las marcas para obligar a
los comercios a cumplir PCI DSS.
En efecto, las entidades financieras
sables) de asegurar que todos los comercios y proveedores de servicio a los que
representan cumplen PCI DSS, éstos no
están siendo el objetivo principal de Visa
y Mastercard, y esto se refleja en que en
la actualidad no existen requerimientos
específicos de validación o proceso de
certificación para las entidades financieras (aunque no quiere decir que en
un futuro no aparezcan), aunque sí se
les recomienda realizar validaciones en
forma de auditorías anuales.
Por tanto, el punto de partida tendría
que ser hacernos preguntas como: ¿me
aplica PCI DSS? ¿Qué repercusión tiene no
cumplir PCI DSS? ¿En qué puntos de mi
organización tengo que cumplir PCI DSS o
lo que es lo mismo, cuál es mi entorno de
cumplimiento? ¿Cuál es mi estado actual
de cumplimiento? ¿Qué tareas debo realizar para acabar cumpliendo PCI DSS?
Si mi empresa realiza algún tipo de
procesamiento, transmisión o almacenamiento de información de tarjetas de
crédito (esto implica el número de la tarjeta o PAN - Primary Account Number
Number), ya
sea de forma directa o indirecta mediante
algún proveedor de servicios, entonces,
queda afectada por el cumplimiento de los
requerimientos que establece PCI DSS.
Posibles repercusiones de no implementar PCI DSS en el caso de que la empresa quede afectada por este estándar
son: lo estipulado por contrato: multas,
Ilustración 1 Proceso de implantación PCI DSS
también deben cumplir PCI DSS. Lo que
es cierto es que, por un lado, dada su
trayectoria en gestión de seguridad de la
información y, por otro lado, dado que
cumplen también el papel (son respon-
rescisiones de contrato, gastos de investigación forense en caso de incidente, etc.;
pérdida de reputación y daños a la imagen
corporativa; pérdida de clientes; etc.
La mejor manera de afrontar el resto
de preguntas es mediante la realización
de un estudio o análisis preliminar
del estado de cumplimiento, donde
se define el ámbito al que aplica el estándar (entorno de cumplimiento),
identificando cómo fluye la información
de tarjetas a través de los diferentes sistemas, aplicaciones y redes de la organización, así como los departamentos
y personas afectadas, y que permite
medir también el grado de madurez de
la empresa respecto al cumplimiento
de los requerimientos establecidos por
el estándar. Previo a estos puntos, es
aconsejable haber realizado una sesión
de familiarización con PCI DSS, es decir,
poner en conocimiento de todos los
departamentos y empleados afectados,
qué es PCI DSS, cuáles son los requeriSEPTIEMBRE 2007 / Nº76 /
SiC
ESTÁNDARES
mientos que impone y cómo les afectan,
de manera que todos hablemos el mismo
lenguaje a la hora de definir el Programa
de Cumplimiento PCI DSS.
Un aspecto crucial de este análisis preliminar es la identificación de relaciones
con proveedores de servicio que controlan
parte o, en algunos casos, todo el proceso de negocio en el que intervienen las
tarjetas de crédito. Hemos de tener en
cuenta que independientemente de cómo
se almacenen o transmitan los datos de
las tarjetas de crédito, nuestra empresa
será siempre la responsable última de la
seguridad de esta información. Por tanto,
debemos asegurarnos de que trabajamos
con proveedores que cumplen PCI DSS
y, de hecho, Visa recomienda que esto
se establezca como un requerimiento
contractual de los comercios con sus
proveedores de servicios.
PROGRAMA DE CUMPLIMIENTO
PCI DSS
Una vez se conoce dónde se tiene que
aplicar el estándar y en qué estado de
cumplimiento nos encontramos, se deben
evaluar los riesgos sobre los activos que
definen el entorno de cumplimiento y de-
Tabla 2: clasificación y requerimientos de validación para comercios
que la empresa pueda alinear los requerimientos PCI DSS con las buenas prácticas
en seguridad de la información que define
ISO17799 y que hoy día es el estándar
adoptado por la mayoría de empresas
para definir y gestionar su seguridad de
la información.
con PCI DSS, los recursos que se dediquen,
el tamaño del entorno de cumplimiento,
etc. Es en esta parte donde la empresa
debe dedicar los recursos tanto económicos como personales necesarios para que
los tiempos marcados en el programa de
cumplimiento se alcancen y la empresa
pueda conseguir el cumplimiento PCI
DSS, reportando la documentación necesaria con el estado de cumplimiento
a la entidad financiera (o directamente a la marca en algunos casos) que
solicitó dicho cumplimiento, y ésta a
su vez reportándolo a las marcas que
sean oportunas.
VALIDACIÓN
Tabla 3: clasificación y requerimientos de validación para proveedores de servicio
finir cómo se van a alcanzar los objetivos
marcados por los requerimientos PCI DSS
a través del Programa de Cumplimiento
PCI DSS.
Este programa define la estrategia
a acometer por la organización para
cumplir los requerimientos establecidos
por PCI DSS, disminuir los riesgos identificados y alinear la inversión en seguridad
con los objetivos y necesidades de la organización. Esta estrategia se concreta en
una planificación de acciones o proyectos
que facilita la información necesaria para
decidir qué acciones abordar, así como
su justificación en base al riesgo que
disminuyen.
Una buena práctica es utilizar como
base para la elección de controles de
seguridad a implementar, una norma de
ámbito internacional como es la ISO/IEC
17799:2005 (futura ISO27002), de manera
94
A la hora de determinar cómo cumplir
con los requerimientos PCI DSS podemos
encontrarnos con impedimentos técnicos
o de negocio que no permiten implementar el requerimiento tal y como se establece
en el estándar. En estos casos se deben
seleccionar controles compensatorios que
hagan posible cumplir el objetivo del requerimiento, justificando por qué no es
posible implementar el requerimiento tal
y como se especifica, y los controles que
se utilizarán en su lugar, así como posibles
riesgos que se introduzcan.
IMPLANTACIÓN
La implantación es en donde se hace
realidad el programa de cumplimiento
PCI DSS. El tiempo de implantación dependerá mucho del trabajo que se haya
identificado como necesario para cumplir
La manera en que las empresas validan su cumplimiento con PCI DSS varía
en función de varios parámetros:
• Tipo de negocio (comercio o proveedor de servicios)
• Volumen de negocio (total de
transacciones anuales)
• Canal (comercio-e por un lado y
resto de canales por otro)
• Riesgo del negocio (si han sufrido
incidentes por hackers, etc.)
Tanto Visa como Mastercard han
definido tablas(tabla2) que clasifican los comercios y los proveedores de servicio por
niveles, y en función de este nivel exigen
ciertos requerimientos de validación. Los
comercios de nivel 4 deben consultar a
las entidades financieras para conocer
si deben cumplir los requerimientos de
validación.
En el caso de los proveedores de
servicios Visa y Mastercard definen 3
niveles de clasificación(tabla3), donde los 2
primeros exigen auditorías anuales on-site
SEPTIEMBRE 2007 / Nº76 /
SiC
ESTÁNDARES
por parte de un auditor QSA y
escaneos trimestrales por parte
de un ASV.
¿CÓMO CONSEGUIR
AYUDA?
producirse un incidente, la
organización podrá demostrar que estaba operando
bajo los requerimientos
establecidos por PCI DSS
al producirse el incidente.
En resumen, contar con
un programa que cumpla
PCI DSS ayuda a:
• Protegerse ante
responsabilidades y
costes potenciales vinculados a posibles casos de
fraude con la información
de tarjetas de crédito (p.e.
en caso de una fuga de
información o intrusión),
costes de investigación en
caso de incidente, costes
legales, etc.
• Reducir riesgos
vinculados a los datos de tarjetas de
crédito.
• Gestionar y controlar la inversión
en seguridad de la información.
• Aumentar la confianza de los clientes: un cliente que paga con tarjeta sabe
que sus datos están gestionados según
un estándar de seguridad.
• Crear una cultura de seguridad en
la organización.
El cumplimiento PCI DSS puede integrarse (o ser el comienzo) con el sistema
de gestión de seguridad de la información (SGSI) de la organización a través
de ISO27001 y pasar a ser una pieza más
en el día a día de la gestión de seguridad
del negocio. 
Las empresas que necesitan cumplir PCI DSS pueden
solicitar ayuda por parte de
empresas certificadas por el
PCI SSC como:
• QSA7, para asesorar en
la implantación de los requerimientos PCI DSS, ayudar en la
elaboración del cuestionario de
autoevaluación y realizar las auditorías on-site de cumplimiento
de los requerimientos PCI DSS. Tabla 4: Relación de controles ISO27001 y requerimientos PCI DSS.
A fecha de redacción de este artículo existe una única empresa
faltan detalles de implementación (granuen España con esta certificación9.
laridad) que PCI DSS sí que especifica. Por
• ASV8, para cumplir con el requeritanto, puede utilizarse ISO27001 para gesmiento de realizar auditorías de vulnerationar el cumplimiento de PCI DSS, pero a
bilidades trimestralmente.
la hora de implementar este cumplimiento
se deberá analizar y seguir exactamente lo
ISO27001 vs PCI DSS
que PCI DSS especifica que debe hacerse
para cumplir cada requerimiento.
Como es sabido, la norma ISO/IEC
Una alternativa podría ser definir el
27001:2005 define los requerimientos
SGSI con un ámbito (scope) muy especípara el establecimiento, implementación,
fico, y que sería el que afecta a la transoperación, monitorización, revisión, manmisión, almacenamiento y tratamiento de
tenimiento y mejora de un SGSI (Sistema
datos de tarjetas de crédito, el ámbito de
de Gestión de Seguridad de la InformaPCI DSS. El objetivo de hacer esto sería
ción). Es una norma certificable que se ha
obtener la certificación ISO27001 dentro
convertido en el estándar internacional en
de este alcance concreto y aprovechar el
gestión de seguridad de la información.
trabajo realizado para cumplir PCI DSS
Uno de los aspectos que remarca
como base para reducir el tiempo y coste
ISO27001 en su cláusula 4.2.1)b)2) es
necesario de implantar ISO27001.
que se deben tener en cuenta los requerimientos legales, regulatorios, de
Conclusiones
negocio y contractuales que deben ser
cumplidos, por lo que podríamos encajar
Cumplir PCI DSS no significa sólo
PCI DSS como uno de los requerimientos
MIGUEL ÁNGEL DOMÍNGUEZ TORRES
acreditarse o cumplir con las auditorías
a cumplir como parte del SGSI que opera
Director de Consultoría
periódicas, sino establecer un estado en
en la organización.
CISSP, CISA, PCI QSA, ISO27001 L.A.
nuestro entorno de pago con tarjetas de
Por otro lado, ISO27001 exige que las
Experto Implantador SGSI, OPST
crédito que cumpla con el estándar en
INTERNET SECURITY AUDITORS
medidas de seguridad que se implanten
todo momento. De esta forma, en caso de
[email protected]
estén justificadas en base al riesgo que
soporta la organización y en base al riesgo
aceptable para ésta (apetito de riesgo), de
manera que como resultado del análisis de
REFERENCIAS
riesgos se decidirán aquellos riesgos que
1
PCI SSC – https://www.pcisecuritystandards.org/
se quieren gestionar y se determinarán los
2
controles a implementar tomando como
VISA Europa – http://www.visaeurope.com/aboutvisa/security/ais/aisprogramme.jsp
base los del Anexo A (ISO17799), aunque
3
Mastercard SDP – http://www.mastercard.com/us/sdp/
pueden utilizarse otros si se considera
4
American Express – http://www125.americanexpress.com/merchant/oam/ns/USEng/FrontServlet?request_
conveniente. Los objetivos de control
type=navigate&page=dataSecurityRequirements
que PCI DSS establece son de obligado
5
JCB – http://www.jcb-global.com/english/pci/index.html
cumplimiento y lo único que podemos
6
Discover – http://www.discovernetwork.com/merchant/resources/data/data_security.html
hacer es utilizar controles compensatorios
7
Listado de empresas QSA certificadas – https://www.pcisecuritystandards.org/pdfs/pci_qsa_list.pdf
en caso de no poder cumplir un objetivo
8
Listado de empresas ASV certificadas – https://www.pcisecuritystandards.org/pdfs/asv_report.html
de control tal y como se especifica.
9
Aunque ISO27001 cubre los requeriQSA Español – Internet Security Auditors – http://www.isecauditors.com/es/noticias.html#qsa_asv
mientos PCI DSS(tabla4), en algunos casos
96
SEPTIEMBRE 2007 / Nº76 /
SiC