Captura

Tal y como anunció nuestro compañero David [1], entre marzo y abril de este año el PCI SSC publicó las actualizaciones de un conjunto de documentos de su biblioteca de referencia. Entre esos documentos, se encuentra la nueva versión 1.1 del Estándar de seguridad para la Producción de tarjetas (PCI Card Production Security Standard). Esta nueva versión está conformada por los siguientes documentos:

  • Requisitos de Seguridad Lógica para la Producción de Tarjetas v1.1 (Card Production Logical Security Requirements v1.1 [2]).
  • Requisitos de Seguridad Física para la Producción de Tarjetas v1.1 (Card Production Physical Security Requirements v1.1 [3]).
  • Resumen de los Cambios desde 1.0 hasta 1.1 para la Producción de Tarjetas (Card Production Summary of Changes from 1.0 to 1.1 [4]).

Recordamos que el objetivo de este estándar es unificar y establecer los requisitos de seguridad específicos para las empresas que se dedican a la estampación de tarjetas de pago (plásticos), personalización de tarjetas y grabación de datos tanto en banda magnética como en chip.

Respecto a los cambios que han sido introducidos en esta nueva versión, se dividen en los siguientes tipos:

  • Guía adicional: Explicación, definición y/o instrucción para mejorar la comprensión o proporcionar información adicional o una guía respecto un tema concreto.
  • Cambio del requerimiento: Creación, modificación importante o eliminación de un requisito.

A continuación se analizan – en función de cada clase de requisitos (físicos y lógicos) – los cambios principales derivados de la nueva versión del estándar.

Requisitos de Seguridad Física

Gráfica 1

Gráfica 1

Como puede observarse en la Gráfica 1, los cambios más importantes en los Requisitos de Seguridad Física se encuentran en las secciones 3 – Edificios y 4 – Procedimientos de producción y registros de auditoría. Sin embargo, también se producen cambios menores en las secciones 5 – Requerimientos de embalaje y entrega y 2 – Personal.

Por orden de numeración de los requisitos, los cambios principales son:

3.2.1 Seguridad externa - Salidas de emergencia

Este requisito se ha ampliado, añadiendo que las salidas de emergencia no se deben poder abrir desde el exterior, ni deben conducir a una HSA (High Security Area).

3.3.5.3 Salas - Salas de destrucción de componentes y materiales de las tarjetas

Este requisito ha sido renombrado, y se ha modificado para aclarar que es necesario disponer de una sala dedicada para destruir los desechos de los componentes y los materiales de las tarjetas. Anteriormente, no se hacía referencia a los componentes y materiales sino a las propias tarjetas.

3.3.5.6 Salas - Cámaras acorazadas

Este nuevo requerimiento especifica los requisitos que aplican sobre las cámaras acorazadas (vault). Se indica qué debe almacenarse en ellas, cuáles son sus requisitos estructurales (ej. grosor de las paredes) y qué requisitos debe cumplir la entrada principal (presencia de personal de control de acceso autorizado y las condiciones de apertura/cierre de puertas, etc.).

Además, aclara que si la cámara se utiliza también para almacenar otros productos que no sean tarjetas de pago, estos deben ubicarse separados de las tarjetas.

Finalmente, todas las cajas donde se guarden tarjetas de pago, deben estar selladas y deben disponer de una etiqueta que indique la siguiente información: el tipo de producto contenido, un identificador único de producto, el número de tarjetas que contiene y la fecha en que se realiza el control.

3.4.5.4 Circuito cerrado de televisión (CCTV) - Retención de las grabaciones de video

En este requisito se ha precisado, que tanto las grabaciones originales como su copia de seguridad, deben mantenerse como mínimo durante un período de 90 días (manteniendo que dichas copias deben realizarse diariamente). Obviamente, en el caso en el que por alguna restricción legal de caracter local de cada país se indique que el almacenamiento de dichas copias debe tener un umbral de retención mayor o menor, la ley primará antes que los controles del estándar.

Además, se ha aclarado que las copias de seguridad de las grabaciones – a pesar de tener que almacenarse dentro de las instalaciones – pueden almacenarse en otros edificios de la misma, utilizando técnicas como la duplicación de discos (disk mirroring), siempre y cuando se asegure que su almacenamiento se realice de forma segura, de acuerdo con el resto de requisitos.

4.5.2 Procedimientos de producción y registros de auditoría - Tarjetas inacabadas

Este requisito también se ha precisado, indicando que las tarjetas inacabadas no deben almacenarse nunca fuera de la cámara acorazada (vault), excepto si se está produciendo (WIP – Work In Progress) un mismo lote de ellas, mientras las instalaciones están en funcionamiento.

Requisitos de Seguridad Lógica

Gráfica 2

Gráfica 2

A su vez, en la Gráfica 2 pueden observarse que los cambios más relevantes en los Requisitos de Seguridad Lógica se encuentran en las secciones 8 – Gestión de claves: datos secretos y 5 – Seguridad de red. Sin embargo, también se producen cambios menores en las secciones 6 – Seguridad de sistemas, 7 – Gestión de usuarios y sistemas de control de acceso, 4 – Seguridad de datos y 9 – Gestión de claves: datos confidenciales.

Por orden de numeración de los requisitos, los cambios principales son:

5.1.3 Seguridad de red - DMZ de la red de producción de tarjetas

Este requisito ha sido renombrado y modificado, precisando que la red de producción de tarjetas debe segregarse del resto de segmentos de la red de la organización.

Además, a partir del 01/01/2016, la DMZ deberá ubicarse en la Sala de servidores de la HSA.

A su vez, los equipos de la infraestructura de la DMZ, deberán ubicarse dentro de la sala anterior, en un rack dedicado con acceso restringido al mínimo número de personas autorizadas.

También, todos los switch y el cableado de los equipos de la DMZ, deberán ubicarse en el mismo rack, utilizando el mínimo número de conexiones de entrada/salida para que dispongan de conectividad con los firewalls.

Por último, en el requisito se han incluido dos diagramas (Figuras 2 y 3) que representan las ubicaciones correctas de la DMZ y los firewalls (perimetrales e internos).

5.7 Seguridad de red - Redes inalámbricas

La sección general (5.7.1) de este requisito se han ampliado y modificado, restringiendo que el fabricante deberá utilizar un WIDS (Wireless Intrusion Detection System) capaz de detectar redes ocultas o que intenten suplantar la identidad de otras redes, en todas las redes inalámbricas autorizadas.

Además, aclara que independientemente de si el fabricante utiliza o no redes inalámbricas, se deben realizar escaneos aleatorios mensualmente, para detectar este tipo de redes. Sin embargo, en caso de no utilizar redes inalámbricas, el fabricante puede utilizar un dispositivo de escaneo que no sea un WIDS.

5.8 Seguridad de red - Monitorización y pruebas de seguridad

La sección sobre vulnerabilidades (5.8.1) de este requisito se ha modificado, indicando que los escaneos de vulnerabilidades internos también deben realizarse trimestralmente. De esta manera, tanto los escaneos internos como los externos deberán realizarse al menos trimestralmente, y siempre que se produzca un cambio significativo en la red.

8.1 Gestión de claves: datos secretos – Principios generales

Este requisito se ha ampliado, añadiendo que el fabricante deberá mantener por escrito la descripción completa de su arquitectura criptográfica, que debe detallar todas las claves utilizadas en cada uno de los HSM (Hardware Security Module). Además, para cada clave es necesario indicar cómo debe ser utilizada.

8.11 Gestión de claves: datos secretos - Destrucción de las claves

Este requisito se ha modificado, aclarando que cuando un dispositivo es retirado (ej. HSM –Hardware Security Module-), cualquier dato o clave criptográfica almacenada en él deben ser eliminados o destruidos.

Además, se añade que todas las destrucciones de claves deben quedar registradas y que se deben mantener los registros, para poder realizar verificaciones posteriores de las destrucciones realizadas.

Como indicaba nuestro compañero Guillem Fàbregas [6] el estándar inicialmente ya suponía un esfuerzo de cumplimiento importante, superior a PCI DSS. Tras analizar los cambios introducidos en este primer ciclo de revisión, se observa una clara tendencia a especificar en mayor detalle cómo deben implementarse los requisitos. Esta tendencia contrasta con la observada en el último ciclo de revisión de PCI DSS, donde se puede observar, en un número importante de requisitos, como no se restringe el tipo de solución tecnológica que debe utilizarse para llevar a cabo su cumplimiento.

Estos son algunos de los principales cambios que pueden conllevar, a los fabricantes de tarjetas de pago, un mayor incremento del esfuerzo de implementación y mantenimiento del cumplimiento del estándar. Es importante tener en cuenta, que existen otros cambios no indicados que también son importantes. Por este motivo, es necesario realizar una revisión completa de todos ellos, con el objetivo de realizar un análisis diferencial exhaustivo en términos de esfuerzo y poder trazar un plan de acción para alcanzar el cumplimiento de esta nueva versión del estándar.


Referencias:

[1] El PCI SSC publica nuevas versiones de las guías de pruebas de penetración, tokenización y producción de tarjetas | PCI Hispano: http://www.pcihispano.com/el-pci-ssc-publica-nuevas-versiones-de-las-guias-de-pruebas-de-penetracion-tokenizacion-y-produccion-de-tarjetas/

[2] Card Production Logical Security Requirements v1.1: https://www.pcisecuritystandards.org/documents/PCI_Card_Production_Logical_Security_Requirements_v1-1_March_2015.pdf

[3] Card Production Physical Security Requirements v1.1:

https://www.pcisecuritystandards.org/documents/PCI_Card_Production_Physical_Security_Requirements_v1-1_March_2015.pdf

[4] Card Production Summary of Changes from 1.0 to 1.1: https://www.pcisecuritystandards.org/documents/PCI_Card_Production_v1.1_Summary_of_Changes_March_2015.pdf

[5] Una visión general de los requerimientos de seguridad para la producción de tarjetas de pago: http://www.pcihispano.com/una-vision-general-a-los-requerimientos-de-seguridad-para-la-produccion-de-tarjetas-de-pago/

[6] PCI Card Production, aspectos a destacar | Revista SiC Nº 111 Septiembre 2014: https://www.isecauditors.com/sites/default/files/files/SIC111_pci-card-production-guillem-frabregas.pdf