| Otras Ediciones: |
- HISTORIAS DE EXITO
- Una realidad Institucional
- OPINION
- BPM y Lean Six Sigma
- Modelar el Negocio
- Una temporada peligrosa
- Decisiones de outsourcing
- TENDENCIAS
- Las Leyes de Seguridad
- Cambio en las Prácticas de Negocios (Parte 1)
- Centro Empresarial Pellas
- Radar TI
- ENTREVISTA
- Sistemas Operativos
- HARDWARE - SOFTWARE - SERVICIOS
- Intel lanza nuevo Xeon QuadCore 7300
- ¿En que consiste la virtualización?
- Al cuidado del software
- Menos es más
- Flexibilidad y agilidad en los negocios
- Integración y orden en las Bases de Datos
- Optimización de Aplicaciones para Windows
- PORTADA
Las Leyes de Seguridad
Stephen Fallas
CISM – CISS - LA7799 – GIAC PCI – ISS-CA
Security Solution Architect
sfallas@us.ibm.com
IBM Internet Security System
Visa, MasterCard, American Express, y otras asociaciones de tarjetas han definido un conjunto de obligaciones en relación con la seguridad de la información y que deben cumplir los comercios que operan por Internet, las entidades financieras y las empresas que gestionan medios de pagos. Las medidas de seguridad, que deben auditarse, deben satisfacer ciertas exigencias siempre que se almacenen, se procesen o se trasmitan datos de titulares de tarjetas.
Una falla de seguridad, clave en el robo de datos
La mayor ciberestafa en la historia del sector financiero fue detectada en junio 2005, cuando las grandes marcas internacionales, Visa y Mastercard avisaron de que el sistema informático de la plataforma Card System, había dejado expuestos los datos de 40 millones de tarjetas.
CardSystem una red intermediaria en el proceso de pagos con tarjeta de crédito sufrió la intervención de un intruso, o más posiblemente una organización delictiva, que planto un programa (o script) que habría de extraer buena parte de la información que circula por las arterias de CardSystem, esto se reduce siempre a lo mismo: una vulnerabilidad, un punto débil en el software que sostiene la red permitiendo el robo de información.
Con el fin de concentrar los esfuerzos para minimizar el riesgo de fraudes con tarjetas de pago, los grandes operadores mundiales se han asociado en la organización denominada “Payment Card Industry Security Standards Council”. La organización fue creada para coordinar y administrar acciones relativas a la seguridad de la información relacionada a tarjetas de pago y sus titulares en cada uno de los eslabones de la cadena.
¿Quiénes tienen que someterse a esta norma de seguridad?
Esta norma incluye a todos los comercios y proveedores de servicios de tercera persona que almacenen, procesen o transmiten datos del titular de tarjeta. Dentro del criterio de validación de cumplimiento se debe segmentarse considerando el riesgo que representan las diferentes entidades afiliadas.
Inicialmente, los miembros deberán utilizar el siguiente criterio para crear dos grupos:
Alto Riesgo: Comercios con la capacidad de almacenar información sensitiva (contenido de la banda magnética, CVV2, etc.). Estos comercios normalmente cuentan con algún tipo de aplicativo o software en el punto de venta.
Bajo Riesgo: Comercios sin capacidad de almacenar información sensitiva. Estos comercios normalmente cuentan con un punto de venta (POS) independiente.
El grupo de “Alto Riesgo” posteriormente deberá dividirse de la siguiente manera:
Nivel 1: Principales comercios que concentran el 80% del volumen de transacciones del grupo de alto riesgo.
Nivel 2: Comercios con el 20% restante de volumen de transacciones del grupo de alto riesgo.
El resultado será una segmentación de 3 niveles que permitirá utilizar diferentes esquemas de validación como se muestra en la siguiente tabla:
| NIVEL | CRITERIO | REQUERIMIENTO |
| 1 |
• Comercios de Alto Riesgo que concentren el 80% del volumen de transaccion de un miembro adquiriente. • Comercios de e-commerce que concentren el 80% del volumen de transaccion de un miembro adquiriente. • Cualquier comercio que ha sufrido un hack o ataque que resultara en un compromiso de informacion de cuentas. • Cualquier comercio identificado como nivel 1 por otra marca de tarjeta de pago. |
• Auditotia anual en sitio • Prueba vulnerabilidad de redes trimestral • Cuestionario de auto evaluacion anual (SAQ) |
| 2 | • Comercios de alto riesgo con el 20% restante de volumen de transacciones de un miembro adquiriente. • Comercios de e-commerce con el 20% restante del volumen de transaccion de un miembro adquiriente. |
• Prueba vulnerabilidad de redes trimestral • Cuestionario de auto evaluacion anual (SAQ) |
| 3 | • Todos los otros comercios. | • SAQ (Recomendado) |
En el caso de un proveedor de servicio puede ser cualquier organización que almacena, procesa o transmite información normalmente en nombre de un grupo de entidades.
Estos incluyen:
- Procesadores
- Proveedores de servicios de pago por Internet (IPSPs)
- Proveedores de servicios de Internet (ISPs)
- Cualquier otra entidad que realiza algún tipo de servicio a un adquirente que requiere manipulación de información de transacciones
La tabla 2 muestra los requerimientos de validación para los proveedores de servicios:
| NIVEL | CRITERIO | REQUERIMIENTO |
| 1 | Todos los Procesadores de VisaNet, Payment Gateways, Proveedores de Servicios de Pago de Internet (Internet Payment Services Provider – IPSP) sin importar el volumen de transacción | • Auditotia anual en sitio • Prueba vulnerabilidad de redes trimestral • Cuestionario de auto evaluacion anual (SAQ) |
Aspectos de evaluación de la Norma de Seguridad de Datos
La industria de pagos electrónicos con tarjetas exige el control de las seis categorías de seguridad principal, separada en 12 requerimientos básicos abarcando todas las áreas involucradas en la seguridad del procesamiento de transacciones con tarjetas de pago.
| Categoria | Criterio |
| 1 | Construir y mantener redes seguras |
| 2 | Proteger la información del titular de tarjeta de pago |
| 3 | Establecer programas de pruebas de vulnerabilidad |
| 4 | Implementar medidas fuertes de control de acceso |
| 5 | Monitorear y probar regularmente el acceso a la red |
| 6 | Mantener políticas de seguridad de la información |
Téngase presente que estas categorías de seguridad de datos de la industria de tarjetas de pago se aplican a todos los miembros, comercios y proveedores de servicio que almacenan, procesan o transmiten datos de los tarjeta habientes. Además, estos requisitos de seguridad se aplican a todos los componentes de sistemas que se definen como cualquier red, componente, servidor o aplicación incluido en el ambiente de datos de los tarjetahabientes o conectado al mismo. Los componentes de red incluyen, sin limitación, firewall, switches, enrutadores, puntos de acceso inalámbricos, aparatos y otros dispositivos de seguridad. Los servidores incluyen, sin limitación, los de Web, bases de datos, autenticación, DNS, correo, Proxy y NTP. Las aplicaciones incluyen todas las aplicaciones compradas e individualmente adaptadas, incluyendo aplicaciones internas y externas (Web).
Como poder reducir los requisitos de validación de cumplimiento
Sin importar si es un comerciante pequeño o un proveedor de servicio mayorista IBM Internet Security System ofrece
| Construir y mantener redes seguras |
Proteger la información del titular de tarjeta de pago |
Establecer programas de pruebas de vulnerabilidad |
Implementar medidas fuertes de control de acceso |
Monitorear y probar regularmente el acceso a la red |
Mantener políticas de seguridad de la información |
|
| IBM Internet Security System Servicios & Productos | ||||||
| PCI Assessment Services |
Pre-Assessment, Annual On-Site Assessments, Quarterly Scanning and Report on Compliance (ROC) | |||||
| Professional Security Services |
Secure Network Design |
Penetration Testing | Policy Development | |||
| Products | IBM Proventia Management SiteProtector | |||||
| Proventia Network IPS Proventia Network MFS |
IBM Proventia Server |
IBM Proventia Enterprise Scanner |
IBM Proventia Enterprise Scanner IBM Proventia Anomaly Detection |
|||
| Managed Security Services |
Managed Protection Service Managed IPS Managed Firewall |
Vulnerability Management Service |
Vulnerability Management Service Security Event and Log Management Service |
|||
| Emergency Response Services |
Incident Response Planning, Incident Response and Forensic Analysis | |||||
Sumario Independientemente al nivel que aplique para validar el cumplimiento de una organización, es responsable de cada entidad cumplir con las normas de seguridad PCI.