scope

Tal y como lo habíamos anunciado hace algunos días, el PCI SSC publicó el 9 de diciembre de 2016 una nueva guía (Information Supplement) denominado “Guidance for PCI DSS Scoping and Network Segmentation“. Este documento ha sido desarrollado para aclarar las dudas relacionadas con la definición del alcance de cumplimiento (“scope”) de PCI DSS y describir y validar las técnicas apropiadas para la minización de dicho entorno empleando segmentación.

Categorias para la definición del alcance de cumplimiento de PCI DSS

A continuación se enumeran algunos de los apartados más importantes de este documento:

Aclaración de conceptos básicos

En el documento se aclaran los siguientes conceptos básicos a ser empleados en el momento de la definición del entorno de cumplimiento:

  • CDE (Cardholder Data Environment – Entorno de datos de titular de tarjeta): Personas, procesos y tecnologías que almacenan, procesan o transmiten datos de tarjetas de pago o datos sensibles de autenticación.
  • Scope of PCI DSS (Alcance de PCI DSS): Todos los componentes del sistema incluidos o conectados al CDE.
  • Conexión al CDE: Cualquier camino de comunicación a uno o más componentes del CDE, dentro de los cuales se encuentran:
    • Conexión física a través de redes tradicionales o conexión directa entre sistemas (USB, por ejemplo)
    • Conexión inalámbrica a través de redes GPRS, wireless, bluetooth o tecnologías celulares
    • Conexión virtual a través de tecnologías de virtualización (máquinas virtuales, firewalls virtuales, switches virtuales, etc.)

Criterios para la determinación del alcance

El PCI SSC recomienda el uso de las siguientes tres categorías para organizar los sistemas de la organización durante el proceso de determinación del alcance:

  • Sistemas del CDE
  • Sistemas conectados o que puedan impactar la seguridad del CDE
  • Sistemas fuera del alcance

Con base en los conceptos descritos anteriormente, los siguientes criterios determinan si un componente se encuentra o no afectado por el cumplimiento de PCI DSS:

Componente ¿Dentro del alcance de PCI DSS? ¿Dentro del alcance de PCI DSS?
Sistemas del CDE Sistemas localizados dentro del CDE, independientemente de su funcionalidad o la razón por la cual están en el CDE SI
Sistemas del CDE Sistemas localizados en el mismo segmento de red (en la misma VLAN o subred) de cualquier sistema que almacene, procese o transmita datos de tarjeta de pago SI
Sistemas del CDE En redes planas (sin segmentación), todos los sistemas de dicha red si hay alguno que procese, almacene o transmita datos de tarjeta SI
Sistemas conectados o que puedan impactar la seguridad del CDE - Cualquier máquina virtual (VM) instalada sobre el mismo hipervisor en el que se encuentre una máquina virtual que procese, almacene o transmita datos de tarjeta de pago.
- Cualquier hipervisor que gestione una máquina virtual que procese, almacene o transmita datos de tarjeta de pago.
SI (ver "Information Supplement:
PCI DSS Virtualization Guidelines")
Sistemas conectados o que puedan impactar la seguridad del CDE Componentes del sistema ubicados en una red diferente (subred o VLAN) pero que pueden conectarse o acceder al CDE (por ejemplo, a través de conectividad interna de red) SI
Sistemas conectados o que puedan impactar la seguridad del CDE Componentes del sistema que puedan impactar la configuración o la seguridad del CDE.
Ejemplos: Servidor de resolución de nombres (DNS)
SI
Sistemas conectados o que puedan impactar la seguridad del CDE Componentes del sistema que provean servicios de seguridad o de soporte de requerimientos de PCI DSS al CDE
Ejemplos: Sistemas de filtrado de tráfico, distribución de actualizaciones, gestión de autenticación, servidores de sincronización de tiempo (NTP), servidores de almacenamiento de logs, etc.
SI
Sistemas conectados o que puedan impactar la seguridad del CDE Componentes del sistema que se puedan conectar o acceder al CDE a través de otro sistema (por ejemplo a través de un servidor de salto) SI
Sistemas conectados o que puedan impactar la seguridad del CDE Componentes del sistema que provean servicios de segmentación entre el CDE y sistemas fuera del alcance.
Ejemplos: Firewalls (virtuales o físicos) configurados para bloquear tráfico de redes no confiables
SI
Sistemas conectados o que puedan impactar la seguridad del CDE Conexiones de terceros (socios de negocio, servicios de soporte remoto, otros proveedores de servicio, etc.) a las redes de la organización dentro del alcance SI. Los controles que aplican se deben determinar dependiendo del acceso a datos de tarjeta de pago (Req. 12.8)
Sistemas conectados o que puedan impactar la seguridad del CDE Servicios dentro del alcance delegados (outsourcing) a terceros SI. Los controles que aplican se deben determinar dependiendo del acceso a datos de tarjeta de pago (Req. 12.8)
Sistemas fuera del alcance Cualquier red pública no confiable.
Ejemplo: Internet
NO
Sistemas fuera del alcance - Sistemas que no almacenen, procesen o transmitan datos de tarjetas o datos sensibles de autenticación Y
- Componentes del sistema que no se encuentren en el mismo segmento de red de sistemas que almacenan, procesan o transmiten datos de tarjetas o datos sensibles de autenticación Y
- Componentes del sistema que no se encuentran conectados a ningún sistema del CDE Y
- Componentes del sistema que NO cumplen con ninguno de los criterios descritos anteriormente para sistemas conectados o que impacten la seguridad del CDE
NO
NOTA: Todos estos criterios deben ser cubiertos para que el sistema sea considerado fuera del alcance

NOTA: El hecho que un sistema se encuentre catalogado como “dentro del alcance” no implica que todos los controles de PCI DSS le apliquen. La aplicabilidad depende de la función o localización de dicho componente.

Pasos para la identificación del alcance de cumplimiento

En el documento, el PCI SSC recomienda la ejecución de los siguientes pasos para la identificación del alcance de cumplimiento:

  1. Identificar cómo y dónde la organización recibe datos de tarjeta de pago
  2. Localizar y documentar la ubicación en donde los datos de tarjeta de pago son almacenados, procesados y transmitidos
  3. Identificar todos los demás componentes del sistema, procesos y personal que se encuentra en el alcance
  4. Implementar controles para minimizar el alcance únicamente a componentes, procesos y personal necesario
  5. Implementar todos los requrimientos aplicables de PCI DSS
  6. Mantener y monitorizar la efectividad y eficacia de los controles desplegados

Verificación de segmentación de sistemas fuera del alcance

El concepto de segmentación desde la perspectiva de PCI DSS debe garantizar el aislamiento de cualquier conexión a componentes del sistema dentro del alcance empleando controles adicionales. Si un sistema fuera del alcance (out-of-scope) no puede tener ningún acceso bajo ninguna circunstancia a un sistema dentro del alcance (in-scope), se considera que la segmentación está correctamente implementada incluso si un atacante logra acceso administrativo a un sistema fuera del alcance. Esto puede realizarse empleando reglas de filtrado de tráfico con firewalls o routers, configuraciones en dispositivos de red para bloquear comunicaciones y/o controles de acceso físico.

La implementación de la segmentación no es obligatoria, pero ayuda a minimizar el entorno de cumplimiento y – por consiguiente – los costes y dificultad asociados con el despliegue y mantenimiento de controles y el riesgo de exfiltración de datos de tarjetas de pago. Una red no segmentada (denominada “red plana” / “flat network”) implica que todos sus componentes se encuentran dentro del alcance de cumplimiento.

Al respecto, es importante tener presente que cuando una tecnología es usada para gestionar accesos entre sistemas y redes por propósitos de cumplimiento de PCI DSS, esto no es considerado como segmentación para la reducción del alcance de PCI DSS.

Algunos de los controles que se pueden emplear para prevenir que sistemas fuera del alcance comprometan un sistema conectado o que pueda afectar la seguridad del CDE son:

  • Firewalls basados en host (Personal firewall)
  • Sistemas de Detección y Prevención de Intrusiones (IDS/IPS)
  • Controles de seguridad física que permitan que únicamente usuarios designados puedan acceder a sistemas dentro del alcance
  • Controles de seguridad lógica que permitan que únicamente usuarios designados puedan autenticarse en sistemas dentro del alcance
  • Autenticación multi-factor en sistemas dentro del alcance
  • Restringir privilegios de acceso administrativo a usuarios designados y sistemas/redes
  • Monitorización activa de redes sospechosas o comportamientos del sistema que indiquen que un sistema fuera del alcance está intentando obtener acceso a un componente dentro del alcance o al CDE

Cualquier control empleado para prevenir que sistemas fuera del alcance puedan acceder a sistemas dentro del alcance debe ser incluido dentro de la verificación de segmentación.

Igualmente, los controles de segmentación deben ser monitorizados de forma continua para detectar y responder a cualquier incidente o falla que pueda afectar el aislamiento de los componentes.

Seguridad de sistemas y redes fuera del alcance

Cualquier red o sistema catalogado como fuera del alcance – de acuerdo con los criterios descritos anteriormente – no requiere el cumplimiento obligatorio de los controles de PCI DSS.

Sin embargo, se recomienda la aplicación discrecional de controles de seguridad en dichos componentes (tales como antivirus, control de integridad de ficheros, control de acceso, etc.) con el fin de prevenir que sean empleados de forma maliciosa.

Responsabilidades en la determinación y validación del alcance

La organización afectada por el cumplimiento de PCI DSS es la responsable de determinar el alcance de cumplimiento de PCI DSS y revisar constantemente su exactitud.

El asesor QSA es el responsable de confirmar que el alcance de cumplimiento es correcto y se encuentra documentado de forma satisfactoria.

Adicional a estas descripciones, el documento incluye dos ejemplos en los cuales se aplican todos los conceptos explicados. Un ejemplo de una red con servicios compartidos entre el CDE y sistemas fuera del alcance y otro ejemplo con una estación de trabajo de un administrador ubicada fuera del CDE.

Este es un documento imprescindible tanto para los comercios y proveedores de servicio como para los asesores QSA con el fin de homogeneizar conceptos y gestionar la seguridad del entorno con base en el riesgo. Desde PCI Hispano os invitamos a revisarlo detalladamente y estaremos a la espera de vuestras preguntas en el foro y en los comentarios del artículo.