Capture

Entre marzo y abril de 2015 el PCI SSC ha publicado actualizaciones a tres documentos de su biblioteca de referencia:

El desarrollo de las actualizaciones de estos tres documentos ha sido promovido por el PCI Special Interest Group, un grupo patrocinado por el PCI SSC y compuesto por múltiples empresas vinculadas con la operación y seguridad de transacciones con tarjetas de pago que cada año propone una serie de temas para ser analizados en detalle y que sirven como soporte a los estándares principales del Council.

A continuación se describirán algunos de los aspectos más importantes de estos tres documentos.

Guía de pruebas de penetración (Penetration Testing Guidance)

Este nuevo suplemento informativo (information supplement) publicado por el PCI SSC actualiza los contenidos existentes en la versión publicada en el 2008 con el fin de facilitar las labores y aclarar conceptos asociados con el requerimiento 11.3 de PCI DSS.

Con la entrada en vigencia el 30 de Junio de 2015 de los nuevos cambios del requerimiento 11.3 (que hasta ese día serán considerados como “mejores prácticas” y entrarán a convertirse en requisitos como tal), esta nueva guía actualiza y agrega nuevos contenidos tales como:

  • Componentes de las pruebas de penetración: Explica los diferentes componentes que hacen parte de una prueba de penetración y su diferencia con un escaneo de vulnerabilidades, incluyendo alcance, pruebas a nivel de red y a nivel de aplicación, validaciones de segmentación e ingeniería social.
  • Cualificaciones del profesional que realiza las pruebas de penetración (penetration tester): Describe cómo determinar y validar las cualificaciones del profesional que realiza las pruebas con base en su experiencia y certificaciones.
  • Metodologías de las pruebas de penetración: En este apartado se describen las actividades a desarrollar antes, durante y posterior a la realización de las pruebas.
  • Guía para la realización de reportes de pruebas de penetración: Finalmente, se ofrecen una serie de indicaciones para la redacción de los reportes de las pruebas con el fin de que cumplan con los objetivos del requerimiento.

Guía de seguridad para productos de tokenización (Tokenization Product Security Guidelines)

El proceso de tokenización consiste en el remplazo (parcial o total) del PAN (Primary Account Number) por un dato que no es confidencial pero que operativamente se comporta exactamente igual al PAN dentro del flujo transaccional y cuyo objetivo consiste en la minimización del entorno de cumplimiento de PCI DSS (Cardholder Data Environment). Puede ser implementado en un dispositivo de hardware (appliance), como un aplicativo de software o ser ofrecido como un servicio.

En esta nueva actualización de la guía (que originalmente provenía de VISA y luego fue adaptada y actualizada por el PCI SSC en su primera versión), se entran a discutir en mayor detalle

  • Los tipos de tokens (reversibles e irreversibles)
  • Los roles en el proceso de tokenización
  • Guías y mejores prácticas para el despliegue de este tipo de soluciones en la organización
  • Dominios de seguridad para tokenización (áreas operativas en el proceso que comprenden la generación, la relación PAN-token, el Card Data Vault (CDV) o repositorio y la gestión de claves)
  • Los algoritmos recomendados (de encriptación y hash) para el uso con soluciones de tokenización
  • Casos de uso en la implementación de soluciones de tokenización

Estándar de seguridad para la producción de tarjetas (PCI Card Production Security Standard)

Finalmente, se ha realizado una actualización a la versión 1.0 del estándar de seguridad para la producción de tarjetas que cubre tres documentos principales:

  • Card Production Logical Security Requirements v1.1
  • Card Production Physical Security Requirements v1.1
  • Card Production Summary of Changes from 1.0 to 1.1

Este estándar cubre los aspectos de seguridad a nivel lógico y físico en las actividades de producción de tarjetas de pago que incluyen la manufactura, la inserción de chips EMV, la preparación de datos, personalización de tarjetas y chips, embalado, almacenamiento y envío de tarjetas, impresión de PIN y envío incluyendo distribución electrónica.

Dentro de los controles actualizados se encuentran:

  • Control de acceso
  • Alarmas
  • Almacenamiento de tarjetas
  • Estampación
  • Salidas de emergencia
  • Distribución de tarjetas y PIN
  • Uso de bóvedas de almacenamiento (vault)

En próximos artículos, en PCI Hispano realizaremos un análisis detallado de cada uno de estos documentos.