Captura

El 16 de Diciembre de 2014 el PCI SSC publicó el nuevo documento “PCI Terminal Software Security Best Practices” (TSSBP) que entra a complementar la lista de “Info Supps” (suplementos informativos) dentro de los que se encuentran las guías de virtualización, aplicabilidad de EMV, tokenización, redes inalámbricas, cloud computing, eCommerce, entre otros.

Este documento es el esfuerzo del PCI SSC para reforzar los controles de seguridad en las terminales de pago (POS/TPV) como respuesta a los incidentes de seguridad que se presentaron a lo largo de 2013 y 2014 que involucraban vulnerabilidades en este tipo de equipos. Esta nueva guía está focalizada específicamente en aquel software que se ejecuta en dispositivos no cubiertos por el programa PCI POI (que se encarga de definir controles que impactan la seguridad del dispositivo POI (Point of Interaction) usado por el titular de la tarjeta durante una transacción financiera), incluyendo aplicaciones de pago, núcleos (kernel) de EMV, librerías y software de terceros que no son cubiertas ni por PTS POI ni por PA DSS dando pie a una potencial superficie de ataque.

 Las áreas que cubre este documento están esquematizadas en 4 dominios:

  • A. Formación en seguridad (Security-Awareness Training)
  • B. Establecimiento de un Secure Software-Development Life Cycle (SSDLC) y definición de roles (Secure Software-Development Process)
  • C. Pruebas a nivel de dispositivo (Device-Level Testing)
  • D. Revisiones de procesos internos (Internal Process Reviews)

Es importante tener en cuenta que estos documentos complementan los estándares PCI DSS, PA DSS, PCI PTS y P2PE pero no son de carácter obligatorio, por lo que cada organización debe analizar el impacto de estas recomendaciones en su entorno e integrarlas dentro de sus prácticas habituales (Business-as-usual (BAU)).

¿Le ha gustado esta noticia? Compártala con sus colegas en Twitter, LinkedIn, Facebook, Google+ y vía RSS. ¿Tiene alguna duda? Le invitamos a participar en el foro o dejar un comentario en este artículo.


Actualización 22/12/2014: Nuestros colegas de Internet Security Auditors han publicado una versión más extensa de este artículo. Los invitamos a leerla en su blog corporativo.