Capture

De forma general dentro del ciclo de vida de una transacción que involucra datos de tarjetas de pago se pueden identificar las siguientes fases:

  1. Obtención (recolección)
  2. Transferencia (transmisión)
  3. Procesamiento
  4. Almacenamiento (retención)
  5. Eliminación/Destrucción

El objetivo de los estándares del PCI SSC (Payment Card Industry Security Standards Council) es proveer un nivel de seguridad homogéneo en todo este proceso.  En este artículo se realizará una descripción de los controles de PCI DSS (PCI Data Security Standard) relacionados con la última fase de dicho ciclo: la eliminación/destrucción.

Eliminación/destrucción segura de datos y medios de almacenamiento

Antes de proceder con la descripción de las acciones para la eliminación/destrucción segura de datos y medios de almacenamiento es indispensable identificar los dos tipos de representaciones de medios existentes:

  • Medios físicos (“hard-copy  media”): Este tipo de medios son representaciones físicas de datos, por lo general asociados con copias en papel (ya sea escrito a mano o impreso), plásticos de tarjetas de pago, FAX, fotos, cintas, tambores, platos y planchas de impresión, así como cualquier otro dispositivo físico que sirva como soporte para el almacenamiento de datos lógicos, dentro de los que se encuentran:
    • Medios magnéticos: diskettes, discos duros, cintas magnéticas, etc.
    • Medios ópticos: CD, DVD, etc.
    • Medios magneto-ópticos: discos Zip, discos Jaz, SuperDisk, etc.
    • Medios electrónicos: Memorias flash, memorias ROM y RAM, unidades solid-state drive (SSD), etc.
  • Medios lógicos (“soft-copy media”): En este tipo de medios se almacenan las representaciones lógicas de los datos en forma de bits y bytes y sus correspondientes estructuras (archivos, filesystems, unidades, etc.)

En este artículo se emplearán como referencia dos documentos principales relacionados con la descripción de acciones orientadas a la eliminación/destrucción segura de datos y medios de almacenamiento:

NIST Special Publication 800-88 - Guidelines for Media Sanitization

La publicación especial del NIST (National Institute of Standards and Technology) 800-88 “Directrices para la sanitización de medios” (“NIST Special Publication 800-88 – Guidelines for Media Sanitization“) fue elaborada por la División de Seguridad Informática con el fin de establecer una serie de criterios para la eliminación/destrucción segura de datos almacenados de forma intencional o no intencional para evitar que puedan ser restaurados, todo esto con base en su nivel de confidencialidad. Este documento describe las técnicas de eliminación/destrucción segura y relaciona cada técnica con el tipo de medio. Así mismo, define los roles y responsabilidades en el proceso y contiene una amplia lista de referencias.

DIN 66399:2012

El Instituto Alemán para la Estandarización (“Deutsches Institut für Normung”) publicó en el año 2012 el estándar DIN 66399, el cual entró a remplazar al antiguo estándar DIN 32757.  Es un estándar específico para la destrucción segura de medios físicos de almacenamiento, los cuales cataloga de la siguiente manera:

  • [P]: Papel, fotos, impresiones, plásticos
  • [O]: Medios de almacenamiento óptico (CDs, DVDs, discos Blu-ray)
  • [T]: Medios de almacenamiento magnético (diskettes, tarjetas plásticas con bandas magnéticas)
  • [E]: Medios de almacenamiento electrónico (pendrives USB, tarjetas con chips, discos SSD, memorias flash, tarjetas de memoria SD)
  • [F]: Películas de fotografía
  • [H]: Discos duros magnéticos

En este estándar se establecen 7 niveles de seguridad:

  1. Nivel de seguridad 1: Aplicado a documentación general que debe ser convertida a un formato ilegible o invalido.
  2. Nivel de seguridad 2: Aplicado a documentación interna que debe ser convertida a un formato ilegible o inválido.
  3. Nivel de seguridad 3: Aplicado a medios que contienen datos confidenciales y/o sensitivos sujetos a requerimientos de protección altos.
  4. Nivel de seguridad 4: Aplicado a medios que contienen datos muy confidenciales y/o altamente sensitivos sujetos a requerimientos de protección muy altos.
  5. Nivel de seguridad 5: Aplicado a medios que contienen datos de importancia fundamental para una persona, compañía o institución.
  6. Nivel de seguridad 6: Aplicado a medios que contienen datos que requieren precauciones de seguridad extraordinarias.
  7. Nivel de seguridad 7: Aplicado a medios que contienen datos estrictamente confidenciales o secretos.

Estos 7 niveles de seguridad son organizados en 3 clases de protección:

  1. Clase de protección 1: Requerimientos normales de seguridad para datos internos en los cuales la publicación no autorizada podría tener un impacto negativo en la organización. Contempla los niveles de seguridad 1, 2 y 3.
  2. Clase de protección 2: Requerimientos de alta seguridad para datos confidenciales en los cuales la diseminación no autorizada podría afectar considerablemente la organización e infringir obligaciones legales o leyes. Contempla los niveles de seguridad 3, 4 y 5.
  3. Clase de protección 3: Requerimientos de muy alta seguridad para datos altamente confidenciales o secretos, que podrían tener consecuencias muy graves en la empresa si fuera publicada de forma no autorizada, pudiendo infringir contratos, leyes u obligaciones confidenciales.  Contempla los niveles de seguridad 5, 6 y 7.

En función del tipo de medio a eliminar/destruir (lógico o físico), se pueden identificar diferentes acciones:

Eliminación de datos en medios lógicos

Bajo esta categoría se enumeran las acciones para la eliminación de datos en medios lógicos, manteniendo operativos los medios físicos que los almacenan. La referencia principal en esta categoría es la publicación del NIST 800-88 “Directrices para la sanitización de medios“.

Redactar (Redact)

Esta técnica es empleada para eliminar determinadas partes de un documento digital para evitar la visualización de datos confidenciales durante un proceso de desclasificación, incluyendo el borrado de metadatos y eliminación/truncamiento de imágenes y texto.   Un documento que puede servir como referencia es “Redacting with Confidence: How to Safely Publish Sanitized Reports Converted From Word 2007 to PDF” de la NSA (National Security Agency) de Estados Unidos.

187px-NSALibertyReport_p13

Ejemplo de visualización de documento digital desclasificado (fuente: Wikipedia)

Borrar (Disposal)

Esta técnica simplemente realiza un borrado sencillo en el cual se elimina la referencia a archivos a nivel de sistema operativo (des-indexación) pero sus datos continúan remanentes en el medio de almacenamiento y pueden ser obtenidos nuevamente empleando técnicas de cómputo forense.  Esta técnica es implementada por los comandos de borrado nativos a nivel de sistema operativo y se emplea con datos/medios con un nivel de confidencialidad bajo.

Limpiar (Clear)

Este método utiliza procedimientos lógicos (basados en software) para borrar de forma segura los datos en ubicaciones de almacenamiento para evitar que dichos datos puedan ser recuperados empleando técnicas de cómputo forense. Por lo general dichos procedimientos de borrado seguro son  aplicados a través de comandos estándar de lectura/escritura sobre el dispositivo de almacenamiento usando sobrescritura de datos con un nuevo valor en varias pasadas o aplicando los valores por defecto de fábrica (donde la sobrescritura no está soportada). Este método se conoce también como “borrado seguro” (“secure delete”, “overwritting”, “wiping” o “shredding”). Estas acciones pueden ser ejecutadas en un archivo en específico o en un medio completo de almacenamiento (formateo seguro). Al respecto, existen múltiples estándares de referencia que describen la cantidad de pasadas, el patrón de sobrescritura y la necesidad de realizar acciones de verificación posterior a dicha sobrescritura.

secure_delete

Algunas herramientas de software que pueden ser empleadas para el borrado seguro se pueden encontrar aquí.

Purgar (Purgue)

Este método utiliza técnicas físicas o lógicas para evitar que los datos en el dispositivo de almacenamiento sean recuperados empleando técnicas de laboratorio (por ejemplo recuperación a través de remanencia magnética), sobre todo cuando dicho dispositivo será reutilizado, reciclado o desechado. Una de las técnicas más reconocidas para “purgar” medios magnéticos es la desmagnetización (degaussing).  La NSA (National Security Agency) de Estados Unidos publica de forma periódica un listado de productos de desmagnetización aprobados que puede ser encontrado aquí.   

Eliminación de datos en medios físicos

Bajo esta categoría se enumeran aquellas acciones para la eliminación de datos en medios físicos. Por lo general implica cambios drásticos o inclusive la inutilización del medio de almacenamiento físico.

Redactar (Redact)

Esta acción aplica a medios físicos escritos y consiste en la sanitización/truncamiento de determinadas partes de un documento con el fin de prevenir potenciales revelaciones de información confidencial (desclasificación).

Un documento que pueden servir de referencia para la implementación de esta actividad es Redaction Toolkit, Guidelines for the Editing of Exempt Information from Documents Prior to Release de los Archivos Nacionales (The National Archives) del Reino Unido.

167px-Mkultra-lsd-doc

Ejemplo de visualización de un documento impreso desclasificado (fuente: Wikipedia)

Destruir (Destroy)

Este último método elimina los datos mediante una destrucción física del medio que los  almacena, dejando este soporte inutilizable empleando técnicas como la desintegración, incineración, pulverización, trituración o fundición. La NSA publica un listado de productos aprobados para la destrucción física aquí.

Empleando como referencia el estándar DIN 66399, a continuación se describen los niveles y acciones para la eliminación/destrucción de datos y medios de almacenamiento dependiendo de su tipo:

[P] Papel

p

[O] Medios de almacenamiento óptico

o

[T] Medios de almacenamiento magnético

t

[E] Medios de almacenamiento electrónico

e

[F] Películas de fotografía

f

[H] Discos duros magnéticos

h

Más información en http://www.hsm.eu/uk/service/downloads/brochures/document-shredders/hsm-din-66399-brochure-and-poster/

Eliminación/Destrucción segura de datos y medios en PCI DSS

Para establecer las acciones a ser ejecutadas en el momento en el que la información relacionada con datos de tarjetas de pago (PAN, PIN/PIN Block,  CID/CAV2/CVC2/CVV2) ya no sea requerida, el estándar PCI DSS define una serie de controles específicos para el proceso de eliminación/destrucción segura, con base en el requerimiento 9.10 (PCI DSS v2.0) / requerimiento 9.8 (PCI DSS v3.0):

“Destruya los medios que contengan datos de titulares de tarjetas cuando ya no sean necesarios para el negocio o por motivos legales”

En vista que el estándar PCI DSS define a alto nivel los controles para la eliminación/destrucción segura de datos y remite los detalles a las “normas aceptadas en la industria”, se recomienda emplear  como referencia los documentos del NIST y DIN analizados en este artículo. De acuerdo con ello, los requerimientos mínimos recomendados para la eliminación/destrucción segura de datos y medios de almacenamiento en PCI DSS quedarían de la siguiente manera:

Eliminación de datos en medios lógicos (Requerimiento 9.10.2 (PCI DSS v2) / 9.8.2 (PCI DSS v3)):

  • Redactar (Redact): Los ejemplos más claros en esta categoría son el enmascaramiento del PAN (primeros 6 y últimos 4 dígitos en visualización) descritos en el requerimiento 3.3 y el truncamiento de datos de tarjeta en el almacenamiento, descritos en el requerimiento 3.4 de PCI DSS.
  • Borrar (Disposal): Esta técnica no debe ser empleada con datos de tarjetas de pago, ya que no garantiza su eliminación de forma segura. De acuerdo con ello, no se deben utilizar los comandos nativos del sistema operativo para la eliminación de archivos que contengan datos de tarjetas.
  • Limpiar (Clear): Como mínimo se debe emplear una herramienta de borrado seguro que implemente por lo menos una pasada de sobrescritura, conforme con lo descrito por la guía del NIST y analizado en www.anti-forensics.com. Cuando se trata de formateo seguro, se debe tener presente que también se deben borrar de forma segura aquellas ubicaciones no direccionables a nivel de sistema operativo, tales como  Host Protected Area (HPA), Device Configuration Overlay (DCO) o Accessible Max Address, dependiendo del tipo de dispositivo de almacenamiento.
  • Purgar (Purgue): Se recomienda emplear como mínimo uno de los equipos de desmagnetización o purgado listados en la página de Media Destruction Guidance de la NSA.

Eliminación de datos en medios físicos (Requerimiento 9.10.1 (PCI DSS v.20) / 9.8.1 (PCI DSS v3)):

  • Redactar (Redact): Aplicar los criterios del requerimiento 3.3 de PCI DSS en donde únicamente se deben visualizar los primeros 6 y los últimos 4 dígitos del PAN en medios físicos escritos (enmascaramiento).
  • Destruir (Destroy): Se recomienda emplear como mínimo un dispositivo de destrucción con un nivel de seguridad 3 (DIN).   Como referencia se puede usar el listado de equipos de destrucción de la página de Media Destruction Guidance de la NSA.

Obviamente, estas recomendaciones deben ser adaptadas a la necesidad de cada organización y siempre contar con el criterio de un QSA.

Recomendaciones generales durante la implementación de controles de eliminación/destrucción de medios en PCI DSS

A continuación se presentan una serie de recomendaciones generales a tener presentes cuando se realiza una implementación de controles de eliminación/destrucción de medios para el cumplimiento de PCI DSS:

  • Se recomienda que durante el proceso de eliminación/destrucción segura de medios se emplee un “certificado de sanitización” que permitirá mantener un inventario de aquellos dispositivos que han sido sanitizados, la técnica empleada y el responsable de la ejecución de dicha acción. Una plantilla de dicho certificado se puede encontrar en el “Appendix G: Sample Sanitization Validation Form” de las “Directrices para la sanitización de medios” de la NSA.
  • Es importante tener presente el requerimiento 9.10.1.b (PCI DSS v2.0) / 9.8.1.b (PCI DSS v3.0)  en donde se requiere el uso de un contenedor seguro para el almacenamiento de medios físicos a ser destruidos.  Estos contenedores deberán tener como mínimo una cerradura para impedir que personal no autorizado obtenga acceso a dichos medios (técnica conocida como “dumpster diving” o “garbage picking”).
  • Cuando la destrucción/eliminación de medios físicos es delegada a un tercero (una empresa especializada en la destrucción segura de medios) es importante validar que dicha empresa cumpla también con los controles de PCI DSS, ya que se compartirán datos de tarjeta hasta tanto dichos medios no sean eliminados de forma segura. Bajo este escenario, la empresa de destrucción de medios físicos deberá entrar a ser regida bajo el control del requerimiento 12.8 de PCI DSS. Se recomienda que se revisen los procedimientos de recogida, transporte y se obtenga un certificado de destrucción segura, así como la firma de cláusulas contractuales de responsabilidad.

Como siempre, los comentarios son bienvenidos. Si hay dudas adicionales, los invitamos a participar del Foro de Discusión de PCI Hispano.