En su labor de soporte para asegurar todos los canales de pago con datos de tarjeta, el PCI SSC ha publicado unas “píldoras” formativas – llamadas “Payment data security essentials” – para ayudar a los pequeños comercios online a cumplir con los requerimientos del estándar de seguridad PCI DSS. Dichas píldoras indican recomendaciones o buenas prácticas de seguridad a cumplir con los requerimientos que dicta dicho estándar. Además, van acompañadas de material adicional que complementa dichas formaciones, como son guías, infografías y videos explicativos.

En la fecha de elaboración de este artículo, el PCI SSC ha puesto a disposición del público las siguientes píldoras formativas:

Siendo algunas de las características más destacadas de las mismas las siguientes:

Contraseñas robustas

  • Deben generarse contraseñas aleatorias difíciles de deducir por parte de un posible atacante en todos los accesos lógicos al entorno de cumplimiento, que contengan al menos caracteres alfabéticos, caracteres especiales y dígitos numéricos. Además, dichas contraseñas no deben ser formadas por palabras comunes, que un atacante podría deducir con un ataque de diccionario.
  • Tanto el ID de los usuarios como las contraseñas de acceso al entorno PCI DSS deben ser únicas e intransferibles, y nunca deben compartirse con otras personas o terceras partes. Deben evitarse también las cuentas/contraseñas compartidas entre varios miembros de un mismo departamento en todos los accesos al entorno, ya san accesos administrativos o accesos a nivel de negocio.
  • Las contraseñas deben ser cambiadas como máximo cada 3 meses (90 días), o antes, si se tienen indicios de que éstas han podido ser comprometidas por parte de un atacante.

Aseguramiento de accesos remotos

  • El primer consejo para disminuir el riesgo de recibir un ataque remoto en un comercio es el de minimizar los canales o vías de entrada remotas al entorno. Por lo tanto, será necesario partir de un principio de “Need-to-Know, en el que solo se deberán habilitar los accesos remotos de los empleados o terceras partes que lo necesiten para el desarrollo de sus tareas diarias. Además, deberá revisarse de manera periódica que los accesos remotos habilitados en su día por una necesidad concreta siguen siendo necesarios, de manera que se verifique que la justificación que se dió en su día para la tramitación de dichos accesos sigue siendo vigente. En caso de que se identifique en una de estas revisiones que alguno de estos accesos ha dejado de ser necesario, dicho acceso deberá darse de baja con la mayor celeridad posible.
  • Deben habilitarse credenciales únicas de autenticación en todos los accesos remotos al entorno PCI DSS, tanto los realizados por personal interno como los realizados por terceras partes. Esto incluye tanto ID’s de usuarios como contraseñas de acceso.
  • Por último, hay que tener en cuenta que todos los accesos remotos al entorno PCI DSS deberán realizarse mediante una autenticación de múltiple factor, en la que, típicamente, el usuario se autentique con una contraseña y un factor externo asociado a un dispositivo individual poseído por el usuario, como por ejemplo una tarjeta de coordenadas, un token criptográfico o un SMS recibido en su teléfono móvil, entre otros.

Instalación de parches (actualizaciones) de seguridad

  • El aspecto más importante a considerar por parte de los comercios para implementar una política correcta de gestión de parches de seguridad en la entidad es la necesidad de identificar las responsabilidades de los proveedores de mantenimiento de tecnologías/aplicaciones en este aspecto, de manera que quede claramente definido quien es el responsable de dicha instalación de parches. Es importante no olvidar los entornos de hosting web en e-commerce, que también deben estar sujetos a una correcta política de gestión de parches por parte de las compañías que hospedan dichas webs. En caso de duda sobre las preguntas concretas que deben realizarse a nuestros proveedores de servicio para identificar sus responsabilidades en estos y otros aspectos de seguridad, puede seguirse el cuestionario de evaluación para comercios emitido por el PCI SSC para este fin.
  • Una vez claras las responsabilidades en este sentido, es necesario que los parches críticos de seguridad se instalen en un plazo máximo de un mes des de su emisión. Para otros parches no tan críticos, deberá evaluarse el riesgo tanto por parte de los administradores del entorno como por parte de los responsables de la entidad, para definir la fecha óptima de instalación de los mismos.

Evitar ataques de “skimming”

  • El Skimming es un ataque de seguridad que afecta tanto a los terminales de pago presencial o TPV (Terminal Punto de Venta) como a los cajeros bancarios (ATM), en el que un atacante se apropia de los datos de tarjeta utilizados por el cliente en el momento de una transacción. Dicho “robo” de datos de tarjeta normalmente se realiza a través de un pequeño dispositivo electrónico que el atacante sitúa físicamente en el dispositivo TPV/ATM para que, cuando el cliente introduzca o aproxime su tarjeta bancaria para la realización del pago, dicho dispositivo extraiga los datos de la tarjeta. Una vez obtenidos los datos de tarjeta por parte del atacante, pueden ser utilizados para realizar una réplica de la tarjeta, o bien para procesar pagos directamente a través de canales online.
  • Los dispositivos de tipo “skimming” son cada vez más sofisticados, de manera que pueden extraer los datos de una tarjeta desde varios puntos de la misma, normalmente a través de su antena contactless o bien a través de su banda magnética. Además, algunos modelos pueden incluir también cámaras de video, por la cual se identifica el PIN del cliente cuando éste lo introduce en el dispositivo TPV/ATM.
  • Las medidas de seguridad más eficientes para la identificación/prevención de este tipo de ataques se basan en aplicar una correcta monitorización y control de los terminales de venta. Según el requerimiento 9.9.2 de PCI DSS, el personal al cargo de dichos dispositivos debe realizar revisiones periódicas de la superficie del mismo para detectar posibles manipulaciones que vengan provocadas por la introducción de dispositivos “skimming” en el terminal.

Evitar ataques de “phishing”

  • Los ataques de “phishing” vienen causados por el engaño a las personas, para conseguir que ellos mismos te faciliten de manera involuntaria el acceso a datos sensibles, como pueden ser contraseñas, o bien datos de tarjeta directamente.
  • Algunos de los canales más típicos por los que se realizan este tipo de ataques son el correo electrónico y las redes sociales que, a su vez, son algunos de los medios más típicos utilizados por las personas para comunicarse con otra gente.
  • Uno de los aspectos más importantes a considerar por parte de las empresas para prevenir este tipo de ataques es la formación a sus empleados en buenas prácticas de seguridad. Dicha formación deberá incluir las medidas a tener en cuenta por parte de los empleados para evitar ser persuadidos por este tipo de engaños.
  • Otra de las medidas recomendadas es aplicar una correcta segmentación de red en la entidad, de manera que los equipos que acceden a este tipo de canales no puedan acceder a los sistemas críticos de la entidad, como son los canales que realizan transacciones financieras.
  • Por último, también se recomienda fortalecer los métodos de autenticación de los empleados en los distinto sistemas de la entidad, aplicando una política de contraseñas robustas e incluso forzando el acceso a través de autenticación de factor múltiple.

Evitar ataques de ransomware

  • Los ataques de ramsomware, por su parte, son un tipo de ataques informáticos causados por un malware, que se suelen iniciar infectando un equipo de usuario final de una entidad, para después ser propagado a las redes internas de la misma, dejando inutilizados todas los ficheros del sistema operativo a través de técnicas de criptografía robusta, en donde el atacante es quien posee la clave de encriptación y suele pedir dinero a cambio.
  • Una de las medidas más útiles para evitar este tipo de ataques es la formación periódica en buenas prácticas de seguridad del personal de la entidad, para que sepan cómo reaccionar si reciben un correo electrónico sospechoso de contener este tipo de malware o detectar contenido malicioso en descargas.
  • Otras medidas de prevención de este tipo de ataques son la actualización continua de equipos con base en los últimos parches de seguridad disponibles en la industria, mantener las aplicaciones antimalware al día respecto a las últimas firmas de ataques disponibles, así como monitorizar lo sistemas de manera periódica para identificar este tipo de amenazas de la manera más temprana posible.
  • Por último, también se recomienda aplicar una correcta política de copias de seguridad en la entidad, de manera que, si hemos sido afectados por este tipo de ataque, podamos restaurar la información que ha sido retenida.