WAF

PCI-DSS (o Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago) es una forma de estandarizar medidas de seguridad cuando hay intercambio de información en la internet para mitigar los riesgos de las transacciones con tarjetas de pago y proteger información personal de los consumidores. Cualquier persona puede crear un sitio web fácilmente y vender productos o servicios, pero no todos pueden tener sitios que siguen los estándares del sector de tecnología como PCI-DSS, que permiten a los consumidores confiar en estos sitios web.

Las consecuencias que pueden suceder si los negocios no cumplen con PCI-DSS incluyen pérdida de la confianza de los clientes, robo de los datos de la compañía, multas (hasta de $500,000 dólares), y también llevar a cabo investigaciones forenses que no solamente consumen mucho tiempo, sino que también causan interrupción de las operaciones comerciales.

¿Cómo empezó PCI-DSS?

Los miembros del PCI-DSS Security Standards Council (o el Consejo de Seguridad de PCI-DSS, que incluyen a Visa, MasterCard, Discover Financial Services, JCB International y American Express) se reunieron en 2004 para crear los estándares de PCI-DSS para proteger proactivamente las tarjetas de pago contra el fraude. La guía oficial de PCI-DSS dice que el estándar se aplica a cualquier organización o negocio, independientemente del tamaño o el número de transacciones que maneja, que acepte, transmita o almacene los datos de la tarjeta. Si algún cliente de esa organización paga al comerciante directamente usando una tarjeta de crédito o tarjeta de débito, entonces se aplican los requisitos de PCI-DSS.

¿Quién necesita ser compatible con PCI-DSS?

Cualquier negocio u organización que acepte, transmita o almacene la información de tarjetas debe cumplir con PCI-DSS. Además, hay varios niveles en los que los proveedores de servicio y comercios pueden ser catalogados, dependiendo de la cantidad de datos de tarjeta que procese anualmente. Para cada nivel hay diferentes pasos que el comerciante deber de seguir para cumplir los requisitos de PCI. Para leer más sobre la tema haga clic aquí.

Adicionalmente, las soluciones de seguridad de red y los firewalls de aplicaciones web instalados en dichos entornos también deben ser compatibles con PCI-DSS.

Eligiendo el mejor WAF (solución de Web Application Firewall) para cumplir los requisitos de PCI-DSS

Hay seis puntos focales relacionados con PCI-DSS: red segura, almacenamiento seguro de datos, administración de vulnerabilidades, control de acceso, monitoreo de seguridad y política de seguridad.

PCIDSS

Organización en grupos y requisitos del estándar PCI DSS

En especial, este artículo se focalizará en el requisito 6.6 de PCI-DSS, el cual cubre cómo proteger las transacciones con tarjetas de pago en aplicaciones web públicas. De los seis puntos focales relacionados con PCI-DSS, el requisito 6.6 es, sin duda, uno de los más complicados del estándar PCI-DSS. Se puede cumplir ya sea realizando escaneos de vulnerabilidades a nivel de aplicación web o empleando una solución de Web Application Firewall.

Requisito 6.6 de PCI DSS

Para los proveedores de soluciones de WAF, hay pruebas de seguridad para validar que se cumple con los requisitos de PCI-DSS, como las siguientes (basadas en la OWASP Top 10):

  • Errores de inyección, particularmente inyección de SQL
  • Inyección de comandos de OS, LDAP y XPath y otros errores de inyección
  • Desbordamiento de buffer (Buffer overflows)
  • Almacenamiento Criptográfico Inseguro
  • Canales [de comunicaciones] inseguros
  • Manejo incorrecto de errores
  • Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • Autenticación y administración de sesión interrumpidas
  • Control de acceso incorrecto (referencias no seguras a objetos directos, fallas en la restricción de acceso a URL).

Para los comerciantes y dueños de sitios web, la lista es una buena referencia para discutir con los proveedores de WAF para elegir soluciones de seguridad que cumplan con los requisitos de PCI-DSS. Adicionalmente, los negocios deberían buscar un WAF que no requiera actualizaciones de las bases de firmas (en inglés, “signature updates”) para salvar más tiempo y para trabajar sin interrupción de operaciones comerciales.

Los dueños de negocios deben confiar en PCI-DSS

Cualquier negocio que trabaje con información de tarjetas de pago debe seguir los requisitos de PCI-DSS para operar con la seguridad en mente. Encontrar una solución WAF confiable y segura puede ayudar a mitigar el riesgo del robo de información de las tarjetas en aplicaciones web y también eliminará cualquier pregunta de seguridad sobre PCI-DSS 6.6 en el futuro.