Mostrando 1 respuesta al debate
  • Autor
    Entradas
    • #44459
      Diego
      Participante

      Hola David,
      Tengo una duda con el uso de servicios inseguros cuando se trata de una red corporativa. El requisito 4 habla de proteger las comunicaciones en redes abiertas y el requisito 8.2.1 dice que en todos los sistemas se debe de proteger el intercambio de credenciales…
      Bajo ese supuesto, ¿se puede utilizar FTP en la red interna de una empresa para el envío de datos con información de datos de tarjeta?
      Extrapolando el tema, ¿se pueden utilizar servicios inseguros dentro de una red interno aun cuando se estén transmitiendo/procesando datos de tarjeta?

      Un saludo.

    • #44582
      David Acosta
      Participante

      Hola Diego:
      Esta es una pregunta muy interesante. Si miras al detalle el estándar, en ninguna parte te dice de forma explícita que debas encriptar el tráfico DENTRO del entorno PCI DSS, salvo en aquellos casos en los cuales se transmitan credenciales (Reqs. 2.3 y 8.2.1)
      Sin embargo, el requerimiento 1.1.6 te habla de *documentar* los controles de seguridad en protocolos inseguros (incluyendo FTP), el requerimiento 2.2.3 te habla de *implementar* controles de seguridad en protocolos inseguros (incluyendo FTP) y como parte del requerimiento 2 (guías de configuración segura) en términos globales deberías deshabilitar o securizar este tipo de protocolos, que es uno de los objetivos en los procesos de hardening.
      Siendo así – y a pesar que no se describa en términos literales – la transmisión de datos de tarjetas de pago en texto claro dentro del entorno de PCI DSS debería estar prohibido y ser remplazado por SCP/SFTP/FTPS o cualquier otro control que evite la captura de datos en la transmisión.
      Por otro lado, si ya implementas controles de cifrado *durante* la transmisión de credenciales, no tiene ningún sentido deshabilitarlo después que este proceso haya finalizado, independientemente del tráfico transmitido…
      Por otro lado, si por alguna razón en un equipo de red o en un servidor se capturan datos de tarjetas que estén empleando un canal de transmisión insegura (en un log, en un fichero de depuración, en un core dump, etc.) directamente ya estarías incumpliendo el req. 3.4…
      En conclusión: Con todas las opciones que se cuentan actualmente para proteger el tráfico durante la transmisión (VPN, HTTPS, FTPS, SFTP, SCP, tunelización usando SSH, etc.), es inclusive más difícil no cifrarlo que cifrarlo… Aunque si te encuentras con un caso muy particular en el cual requieras el uso de este protocolo y no puedas deshabilitarlo, revisa la opción de usar un control compensatorio (http://www.pcihispano.com/controles-compensatorios-que-son-y-cuando-se-utilizan/)

Mostrando 1 respuesta al debate
  • Debes estar registrado para responder a este debate.