Nota: Este artículo ha sido publicado originalmente en el blog de Advantio en idioma inglés.
Debido a las restricciones en términos de movilidad que actualmente están siendo aplicadas en muchos países debido a la epidemia de COVIT-19, muchos operadores, administradores y personal de proveedores de servicio (terceros) han tenido que cambiar la forma en cómo se conectan al entorno de datos de tarjetas de pago (Cardholder Data Environment – CDE) para realizar su trabajo. Ahora, muchas de estas conexiones se realizan de forma remota, empleando las conexiones domésticas de los empleados y – en algunos casos – usando ordenadores no corporativos, exponiendo a la organización a vectores de ataque que no existían cuando estas conexiones se realizaban de forma local.
Esta situación ha obligado a que muchas empresas pongan en funcionamiento sus planes de continuidad para garantizar que la operación continua bajo este escenario excepcional, poniendo a prueba el requerimiento 12.10 de PCI DSS, en el cual se requiere la existencia de un plan de respuesta a incidentes que incorpore acciones de recuperación y continuidad del negocio.
Para minimizar el riesgo que estas conexiones traen al entorno de datos de tarjetas, para evitar la amplificación del entorno de cumplimiento y para garantizar que las conexiones remotas cumplen con los criterios de PCI DSS, en este artículo se enumerarán los controles de PCI DSS que son aplicables a todas las conexiones remotas al CDE, tomando como base la siguiente arquitectura de red genérica:
- Un segmento de red que contiene los activos que procesan, almacenan y/o transmiten datos de tarjetas de pago (Cardholder Data Environment – CDE),
- Un segmento de red que contiene una serie de activos conectados o que pueden impactar la seguridad del CDE, incluyendo un servidor de salto,
- Una red doméstica, en la cual se encuentra una estación de trabajo con acceso administrativo al entorno de datos de tarjetas de pago.
Para empezar, se asume que la plataforma que permite las conexiones remotas (conexiones de redes privadas virtuales (VPN IPSEC/TLS), infraestructura de escritorio virtual (VDI), servicios de escritorio remoto (RDS), etc.) y que la estación de trabajo que se conecta al entorno de forma remota cumplen con los controles de PCI DSS al encontrarse dentro del entorno de cumplimiento (In scope).
De acuerdo con ello, los requerimientos de PCI DSS que son aplicables de forma exclusiva a las estaciones de trabajo que se conectan remotamente al CDE son:
| Requerimiento de PCI DSS | Control de seguridad | Descripción |
|---|---|---|
| 1.4 | Firewall personal | Instale software de firewall personal o una funcionalidad equivalente en todos los dispositivos móviles (de propiedad de la compañía y/o de los trabajadores) que tengan conexión a Internet cuando están fuera de la red (por ejemplo, computadoras portátiles que usan los trabajadores), y que también se usan para acceder al CDE. Las configuraciones de firewall (o equivalente) incluyen: • Se definen los ajustes específicos de configuración. • El firewall personal (o funcionalidad equivalente) está en ejecución activa. • El firewall personal (o una funcionalidad equivalente) no es alterable por los usuarios de los dispositivos informáticos portátiles. |
| 8.1.5 | Acceso remoto de terceros | Administre los identificadores de usuario que usan los terceros para acceder, respaldar o mantener los componentes del sistema de manera remota de la siguiente manera: • Se deben habilitar solamente durante el tiempo que se necesitan e inhabilitar cuando no se usan. • Se deben monitorear mientras se usan. |
| 8.3.2 | Controles de autenticación multi-factor. | Incorpore la autenticación de múltiples factores para todo acceso remoto que se origine desde fuera de la red de la entidad (tanto para usuarios como administradores, e incluso para todos los terceros involucrados en el soporte o mantenimiento). |
| 8.5.1 | Uso de credenciales únicas por cada cliente (solo aplicable a proveedores de servicio) | Los proveedores de servicios que tengan acceso a las instalaciones del cliente (por ejemplo, para tareas de soporte de los sistemas de POS o de los servidores) deben usar una credencial de autenticación exclusiva (como una contraseña/frase) para cada cliente. |
| 12.3 | Políticas de uso para tecnologías críticas (incluyendo acceso remoto) | Desarrolle políticas de uso para las tecnologías críticas y defina cómo usarlas correctamente, incluyendo: • Aprobación específica de las partes autorizadas, • Autenticación para el uso de la tecnología, • Lista de todos los dispositivos y el personal que tenga acceso, • Método para determinar el propietario, la información de contacto y el propósito, • Usos aceptables de la tecnología, • Ubicaciones aceptables de las tecnologías en la red, • Lista de productos aprobados por la empresa. |
| 12.3.8 | Desconexión automática de sesiones de acceso remoto | Desconexió n automática de sesiones para tecnologías de acceso remoto después de un período específico de inactividad. |
| 12.3.9 | Uso de acceso remoto para terceros solo cuando sea necesario | Activación de las tecnologías de acceso remoto para proveedores y socios de negocio sólo cuando sea necesario, con desactivación inmediata después de su uso. |
| 12.3.10 | Prohibición de copiar, mover y almacenar datos de tarjetas cuando se accede de forma remota | En el caso del personal que tiene acceso a los datos del titular de la tarjeta mediante tecnologías de acceso remoto, prohíba copiar, mover y almacenar los datos del titular de la tarjeta en unidades de disco locales y en dispositivos electrónicos extraíbles, a menos que sea autorizado explícitamente para una necesidad comercial definida. Si existe una necesidad comercial autorizada, las políticas de uso deben disponer la protección de los datos de conformidad con los requisitos correspondientes de PCI DSS. |
De forma complementaria, el PCI Security Standards Council (PCI SSC) ha publicado los siguientes documentos para ayudar a comerciantes y proveedores de servicio a mantener los mismos niveles de seguridad locales (onsite) en conexiones remotas:
- Protecting Payments While Working Remotely (https://blog.pcisecuritystandards.org/protecting-payments-while-working-remotely), orientado a la protección de datos de tarjetas de pago en canales telefónicos.
- How the PCI DSS Can Help Remote Workers (https://blog.pcisecuritystandards.org/how-the-pci-dss-can-help-remote-workers), con recomendaciones adicionales para trabajadores remotos.
- 8 Tips for Small Merchants: Protecting Payment Data During COVID-19 (https://blog.pcisecuritystandards.org/8-tips-for-small-merchants-protecting-payment-data-during-covid-19), que incluye una serie de recursos para pequeños y medianos comercios a ser tenidos en cuenta durante el COVIT-19.
- Infografías (https://www.pcisecuritystandards.org/documents/Payment-Data-Security-Essential-Secure-Remote-Access.pdf) y videos (https://youtu.be/MxgSNFgvAVc) para la seguridad de accesos remotos.
Finalmente, otras organizaciones también tienen disponible material que puede ser útil en la protección de conexiones de teletrabajo o acceso remoto de empleados, contratistas, socios de negocio, proveedores (vendors) y otros roles:
- NIST Special Publication (SP) 800-46 Revision 2, Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security (https://doi.org/10.6028/NIST.SP.800-46r2)
- NIST SP 800-114 Revision 1, User’s Guide to Telework and Bring Your Own Device (BYOD) Security (https://csrc.nist.gov/publications/detail/sp/800-114/rev-1/final)
- NIST SP 800-77 Revision 1 (Draft), Guide to IPsec VPNs (https://doi.org/10.6028/NIST.SP.800-77r1-draft)
- NIST SP 800-111, Guide to Storage Encryption Technologies for End User Devices (https://doi.org/10.6028/NIST.SP.800-111)
- NIST SP 800-124 Revision 1, Guidelines for Managing the Security of Mobile Devices in the Enterprise (https://doi.org/10.6028/NIST.SP.800-124r1)
- NIST SP 1800-4, Mobile Device Security: Cloud and Hybrid Builds (https://doi.org/10.6028/NIST.SP.1800-4)
- NIST SP 1800-21 (Draft), Mobile Device Security: Corporate-Owned Personally-Enabled (COPE) (https://www.nccoe.nist.gov/projects/building-blocks/mobile-device-security/corporate-owned-personally-enabled)
- Centro Criptológico Nacional (CCN) of Spain, Recomendaciones de seguridad para situaciones de teletrabajo y refuerzo en vigilancia (https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/4691-ccn-cert-bp-18-recomendaciones-de-seguridad-para-situaciones-de-teletrabajo-y-refuerzo-en-vigilancia-1/file.html)
- Centro Criptológico Nacional (CCN) of Spain, Medidas de seguridad para acceso remoto (https://www.ccn.cni.es/index.php/es/docman/documentos-publicos/abstract/191-abstract-politica-de-acceso-remoto-seguro/file)
- Center for Internet Security (CIS), Resource Guide for Cybersecurity During the COVID-19 Pandemic (https://www.cisecurity.org/white-papers/resource-guide-for-cybersecurity-during-the-covid-19-pandemic/)
2 Comentarios en respuesta a "Controles de PCI DSS aplicables a estaciones de trabajo que se conectan remotamente al CDE"