Nota: Este artículo ha sido publicado originalmente en el blog de Advantio en idioma inglés.

Debido a las restricciones en términos de movilidad que actualmente están siendo aplicadas en muchos países debido a la epidemia de COVIT-19, muchos operadores, administradores y personal de proveedores de servicio (terceros) han tenido que cambiar la forma en cómo se conectan al entorno de datos de tarjetas de pago (Cardholder Data Environment – CDE) para realizar su trabajo. Ahora, muchas de estas conexiones se realizan de forma remota, empleando las conexiones domésticas de los empleados y – en algunos casos – usando ordenadores no corporativos, exponiendo a la organización a vectores de ataque que no existían cuando estas conexiones se realizaban de forma local.

Esta situación ha obligado a que muchas empresas pongan en funcionamiento sus planes de continuidad para garantizar que la operación continua bajo este escenario excepcional, poniendo a prueba el requerimiento 12.10 de PCI DSS, en el cual se requiere la existencia de un plan de respuesta a incidentes que incorpore acciones de recuperación y continuidad del negocio.

Para minimizar el riesgo que estas conexiones traen al entorno de datos de tarjetas, para evitar la amplificación del entorno de cumplimiento y para garantizar que las conexiones remotas cumplen con los criterios de PCI DSS, en este artículo se enumerarán los controles de PCI DSS que son aplicables a todas las conexiones remotas al CDE, tomando como base la siguiente arquitectura de red genérica:

  • Un segmento de red que contiene los activos que procesan, almacenan y/o transmiten datos de tarjetas de pago (Cardholder Data Environment – CDE),
  • Un segmento de red que contiene una serie de activos conectados o que pueden impactar la seguridad del CDE, incluyendo un servidor de salto,
  • Una red doméstica, en la cual se encuentra una estación de trabajo con acceso administrativo al entorno de datos de tarjetas de pago.

Para empezar, se asume que la plataforma que permite las conexiones remotas (conexiones de redes privadas virtuales (VPN IPSEC/TLS), infraestructura de escritorio virtual (VDI), servicios de escritorio remoto (RDS), etc.) y que la estación de trabajo que se conecta al entorno de forma remota cumplen con los controles de PCI DSS al encontrarse dentro del entorno de cumplimiento (In scope).

De acuerdo con ello, los requerimientos de PCI DSS que son aplicables de forma exclusiva a las estaciones de trabajo que se conectan remotamente al CDE son:

Requerimiento de PCI DSS Control de seguridad Descripción
1.4 Firewall personal Instale software de firewall personal o una funcionalidad equivalente en todos los dispositivos móviles (de propiedad de la compañía y/o de los trabajadores) que tengan conexión a Internet cuando están fuera de la red (por ejemplo, computadoras portátiles que usan los trabajadores), y que también se usan para acceder al CDE. Las configuraciones de firewall (o equivalente) incluyen:
• Se definen los ajustes específicos de configuración.
• El firewall personal (o funcionalidad equivalente) está en ejecución activa.
• El firewall personal (o una funcionalidad equivalente) no es alterable por los usuarios de los dispositivos informáticos portátiles.
8.1.5 Acceso remoto de terceros Administre los identificadores de usuario que usan los terceros para acceder, respaldar o mantener los componentes del sistema de manera remota de la siguiente manera:
• Se deben habilitar solamente durante el tiempo que se necesitan e inhabilitar cuando no se usan.
• Se deben monitorear mientras se usan.
8.3.2 Controles de autenticación multi-factor. Incorpore la autenticación de múltiples factores para todo acceso remoto que se origine desde fuera de la red de la entidad (tanto para usuarios como administradores, e incluso para todos los terceros involucrados en el soporte o mantenimiento).
8.5.1 Uso de credenciales únicas por cada cliente (solo aplicable a proveedores de servicio) Los proveedores de servicios que tengan acceso a las instalaciones del cliente (por ejemplo, para tareas de soporte de los sistemas de POS o de los servidores) deben usar una credencial de autenticación exclusiva (como una contraseña/frase) para cada cliente.
12.3 Políticas de uso para tecnologías críticas (incluyendo acceso remoto) Desarrolle políticas de uso para las tecnologías críticas y defina cómo usarlas correctamente, incluyendo:
• Aprobación específica de las partes autorizadas,
• Autenticación para el uso de la tecnología,
• Lista de todos los dispositivos y el personal que tenga acceso,
• Método para determinar el propietario, la información de contacto y el propósito,
• Usos aceptables de la tecnología,
• Ubicaciones aceptables de las tecnologías en la red,
• Lista de productos aprobados por la empresa.
12.3.8 Desconexión automática de sesiones de acceso remoto Desconexió n automática de sesiones para tecnologías de acceso remoto después de un período específico de inactividad.
12.3.9 Uso de acceso remoto para terceros solo cuando sea necesario Activación de las tecnologías de acceso remoto para proveedores y socios de negocio sólo cuando sea necesario, con desactivación inmediata después de su uso.
12.3.10 Prohibición de copiar, mover y almacenar datos de tarjetas cuando se accede de forma remota En el caso del personal que tiene acceso a los datos del titular de la tarjeta mediante tecnologías de acceso remoto, prohíba copiar, mover y almacenar los datos del titular de la tarjeta en unidades de disco locales y en dispositivos electrónicos extraíbles, a menos que sea autorizado explícitamente para una necesidad comercial definida.
Si existe una necesidad comercial autorizada, las políticas de uso deben disponer la protección de los datos de conformidad con los requisitos correspondientes de PCI DSS.

De forma complementaria, el PCI Security Standards Council (PCI SSC) ha publicado los siguientes documentos para ayudar a comerciantes y proveedores de servicio a mantener los mismos niveles de seguridad locales (onsite) en conexiones remotas:

Finalmente, otras organizaciones también tienen disponible material que puede ser útil en la protección de conexiones de teletrabajo o acceso remoto de empleados, contratistas, socios de negocio, proveedores (vendors) y otros roles:

Autor: David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS, TSP y PIN.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.