Amazon Web Services (AWS), uno de los principales proveedores de servicios en la nube (cloud) publicó en abril de 2020 el documento «Guía de cumplimiento con PCI DSS v3.2.1» (Payment Card Industry Data Security Standard (PCI DSS) 3.2.1 on AWS – Compliance Guide). En este documento se describen diferentes conceptos desde la perspectiva de identificación de alcance (scope), gestión de diagramas de red y de flujo, segmentación de red y cumplimiento de todos los requerimientos empleando los diferentes servicios ofrecidos por AWS.

Se trata de una guía imprescindible para aquellas empresas que procesan, almacenan y/o transmiten datos de tarjetas de pago en infraestructuras implementadas en la nube de Amazon bajo un modelo de «responsabilidad compartida«, en donde AWS es el responsable de la seguridad y el cumplimiento de la nube (o la infraestructura que ejecuta todos los servicios ofrecidos en AWS Cloud), mientras que el cliente es el responsable de la seguridad y el cumplimiento en la nube (incluyendo la configuración de todos los componentes de sistemas incluidos en o conectados a sus entornos de datos del titular de tarjeta (Cardholder Data Environment – CDE).

Es importante anotar que AWS es proveedor de servicios de Nivel 1 y que de forma continua agrega nuevos servicios a su lista de servicios certificados (hay que tener en cuenta que no todos los servicios de AWS están certificados bajo PCI DSS – ver la lista aquí).

Este documento ofrece una visión general respecto al uso de los servicios de AWS en un entorno PCI DSS y compara la aplicabilidad del estándar y de diferentes suplementos informativos (como por ejemplo el de segmentación y el de comercio electrónico) para guiar a sus clientes en el uso de mejores prácticas para lograr el cumplimiento. De igual manera, a través de ejemplos prácticos, se explica el uso de los servicios de AWS y el desarrollo de una arquitectura segura para proteger los datos de tarjetas de los clientes.

A continuación se listan algunos puntos importantes de la guía que deben ser tenidos en cuenta tanto por los clientes que usan AWS como por los asesores QSA durante las evaluaciones formales de cumplimiento:

  • Por defecto, los Security Groups permiten todo el tráfico saliente. El cliente debe configurar filtros para limitar este tráfico (empleando proxies, por ejemplo).
  • Es indispensable implementar VPC Endpoints para garantizar que el tráfico no atraviesa redes públicas abiertas (como internet) y que el tráfico inter- e intra-redes no deja la red de AWS.
  • Las conexiones de AWS DirectConnect no están encriptadas por defecto, de tal manera que el cliente debe agregar un control adicional (como el uso de una VPN) para garantizar la protección del tráfico de acuerdo con el requerimiento 4.
  • Algunos servicios de AWS siguen empleando TLS 1.0. Es responsabilidad del cliente configurarlos para que funcionen bajo TLS 1.1 o TLS 1.2.
  • El bloqueo de cuentas después de intentos fallidos (8.1.6 y 8.1.7) debe ser implementado por el cliente a través de controles compensatorios.
  • La gestión de sesiones inactivas (8.1.8 – timeouts) debe ser implementada por el cliente.
  • El uso de Amazon GuardDuty no es suficiente para cumplir con el requerimiento de IDS/IPS (11.4). Se requiere complementar este servicio con controles adicionales provistos por el cliente (como HIDS/HIPS).

Por otro lado, se recomienda que esta guía sea usada de forma complementaria a otra documentación proporcionada por AWS para el desarrollo de un entorno alineado con PCI DSS:

Finalmente, os invitamos a revisar el artículo «Amazon y PCI DSS: Guía práctica para alinear AWS en un entorno de datos de tarjeta de pago» que analiza en detalle el despliegue y el mantenimiento de un entorno que cumple con PCI DSS bajo la plataforma de AWS.

Avatar

Autor: David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS, TSP y PIN.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.