Etiquetado: ,

Este debate contiene 6 respuestas, tiene 3 mensajes y lo actualizó David Acosta David Acosta hace 3 meses, 3 semanas.

  • Autor
    Publicaciones
  • #49381
    Avatar
    alejandro_tikva
    Participante

    David, como andas?
    Abro este tema que me esta surgiendo en uno de nuestros clientes para buscar alternativas de implementación. Basicamente tienen una necesidad de negocio de utilizar el web whatsapp en las máquinas de los operadores alcanzados. Estuve averiguando controles compensatorios, como por ejemplo implementar un DLP, y no encuentro nada para whatsapp ya que tienen un cifrado de punta a punta.

    Como se puede monitorear? Que se te ocurre? Independientemente de la capacitación y sanciones que ayudan a cubrir esto…es importante el monitoreo de ese tráfico.

    Abrazo grande!

  • #49435
    David Acosta
    David Acosta
    Participante

    Hola Alejandro:

    Es un gusto volver a verte por aquí.

    Respecto a tu duda, es un tema muy complicado, básicamente porque la tecnología siempre avanza más rápido que los controles de seguridad. Existen múltiples soluciones de DLP, basados en red o basados en endpoint:
    – Un DLP basado en red no serviría, ya que WhatsApp cuenta con cifrado punto a punto en la conexión entre el ordenador y el teléfono y los mensajes se envían por la conexión del teléfono, no por la red de datos del ordenador..
    – Un DLP basado en endpoint podría servir, pero, hasta donde conozco, ninguno soporta la detección de texto en WhatsApp web (si que pueden detectar cuando se envía un documento o un texto, pero no lo que se escribe).

    Sinceramente, no se me ocurre ninguna justificación por la cual un terminalista pueda tener acceso a WhatsApp Web. De hecho, los controles del SAQ C y del SAQ C-VT (para terminales virtuales de pago) están orientados a tratar de aislar el odenador o la red desde la cual se accede a la terminal de pago:

    Your company accesses the PCI DSS-compliant virtual payment terminal solution via a computer that is isolated in a single location, and is not connected to other locations or systems within your environment (this can be achieved via a firewall or network segmentation to isolate the computer from other systems).

    Mi sugerencia es revisar nuevamente la necesidad y aislar/segmentar las tareas de acceso a WhatsApp web (para soporte de clientes, por ejemplo) y las tareas de acceso a la terminal de pago. Si, por el contrario, se reciben datos de tarjetas a través de WhatsApp Web, este ya es un tema que habría que mirar con mucho detalle, ya que las conversaciones se almacenan en el teléfono y se estaría incumpliendo el criterio de almacenamiento de datos de tarjetas, requerido en estos SAQ y tendrías que ampliar el alcance de cumplimiento también a los teléfonos móviles.

    Revisa estas respuestas y si quieres, lo podemos discutir en detalle.

    David

    • #49520
      Avatar
      Sibernauta
      Participante

      Hola a todos

      Tengo una duda muy parecida a la del amigo alejandro_tikva. Pero mi duda es más sobre el alcance de las PCI DSS con el uso de WhatsApp Web.
      1.- ¿Bajo qué condiciones se puede permitir en una empresa (que busca la certificación PCI DSS) usar este servicio? Vamos, creo que si hay un departamento que no maneja datos sensibles y su VLAN nada tiene que ver con el CDE ni nada por el estilo, puede usar este servicio sin afectar el cumplimiento de las PCI DSS
      2.- También con el uso de herramientas como Dropbox o Google Drive. ¿Se aplica esta excepción?. Por cierto, según Google su plataforma Cloud (que incluye Drive) están certificados por PCI DSS, ver: https://support.google.com/googlecloud/answer/6056694?hl=es ahí se dice:
      «La normativa de seguridad de datos del sector de las tarjetas de pago (Payment Card Industry Data Security Standard, PCI DSS) es un conjunto de políticas y requisitos técnicos definidos para sistemas que almacenan o procesan información de tarjetas de pago. Google Cloud Platform se ha sometido a un examen por parte de un asesor de seguridad cualificado (Qualified Security Assessor, QSA), que ha concluido que esta aplicación cumple con la normativa de seguridad de datos (Data Security Standards, DSS) del sector de las tarjetas de pago (Payment Card Industry, PCI). Con el informe sobre cumplimiento elaborado por el asesor de seguridad cualificado, Google confirma que los desarrolladores de aplicaciones pueden usar esta plataforma para crear y ejecutar sus propias soluciones seguras y ajustadas a los estándares de seguridad. G Suite no está ideado para procesar ni almacenar transacciones de tarjetas de crédito. Por lo tanto, los clientes pueden configurar controles para impedir que se envíen desde G Suite correos electrónicos que contengan datos de tarjetas de crédito. Esta medida ayuda a que nuestros clientes sigan cumpliendo con el estándar PCI DSS. En Google Drive, se puede configurar Vault para realizar auditorías para asegurarse de que no se almacena información de tarjetas de crédito.»

      ¿Hasta qué punto es permitido por usar Drive en mi empresa?

      Gracias por su respuesta

  • #49644
    David Acosta
    David Acosta
    Participante

    Buenas tardes:
    Respecto a las dos preguntas de arriba:
    1) De acuerdo. Si el servicio de mensajería instantánea de WhatsApp Web no está vinculado con el entorno de cumplimiento de PCI DSS, no hay ninguna restricción para que no se haga uso de él. El problema viene cuando a través de ese canal se reciben, transmiten y/o almacenan datos de tarjetas de pago en texto claro (incumplimiento del req. 4.2 de PCI DSS), en cuyo casi hay que definir alguna alternativa para que esa información esté protegida.
    2) Tampoco hay ninguna restricción respecto al uso de Google Drive. No obstante, los datos de tarjetas de pago almacenados allí deben estar obligatoriamente protegidos por alguna de las alternativas planteadas en el requerimiento 3.4 de PCI DSS (hash, truncamiento, tokenización o encriptación), cosa que el proveedor de la plataforma no te ofrece y que deberás implementar bajo tu responsabilidad. PCI DSS es ajeno al medio de almacenamiento siempre y cuando los datos que se guarden allí cumplan con lo establecido en ese requerimiento.
    Saludos,
    David

  • #49661
    Avatar
    Sibernauta
    Participante

    Hola David

    Gracias por responder.

    Por favor, déjame ver si entendí: ¿Puedo usar WhatsApp Web y Google Drive siempre y cuando por estos medios no se transmitan ni almacenen datos sensibles del tarjeta habiente?. Más aún, no deberían estar en las PCs de las personas que trabajan con tales datos, ¿Cierto?
    ¿A eso te refieres cuando hablas del «entorno de cumplimiento de PCI DSS»?

    Disculpa la molestia

  • #49662
    Avatar
    Sibernauta
    Participante

    Hola David

    Gracias por responder.

    Por favor, déjame ver si entendí: ¿Puedo usar WhatsApp Web y Google Drive siempre y cuando por estos medios no se transmitan ni almacenen datos sensibles del tarjeta habiente?. Más aún, no deberían estar en las PCs de las personas que trabajan con tales datos, ¿Cierto?
    ¿A eso te refieres cuando hablas del «entorno de cumplimiento de PCI DSS»?

    Disculpa la molestia

  • #49920
    David Acosta
    David Acosta
    Participante

    Buenas tardes:

    Respecto a la pregunta del «entorno de cumplimiento de PCI DSS», es importante hacer la aclaración del alcance de los requisitos de PCI DSS:
    «Los requisitos de seguridad de PCI DSS se aplican a todos los componentes del sistema incluidos en el entorno de datos del titular de la tarjeta o conectados a este. El CDE (entorno de datos del titular de la tarjeta) consta de personas, procesos y tecnologías que almacenan, procesan o transmiten datos de titulares de tarjetas o datos confidenciales de autenticación. El término “componentes del sistema” incluye dispositivos de red, servidores, dispositivos informáticos y aplicaciones.»

    En el artículo «El PCI SSC publica una guía para la determinación del alcance y segmentación de red para PCI DSS» podrás encontrar más información al respecto

    Respecto a tu otra pregunta, si el servicio de WhatsApp Web y de Google Drive está activo en equipos en donde no se almacenan, procesan ni transmiten datos de tarjetas de pago ni afectan la seguridad del entorno, entonces no hay ninguna restricción en su uso. Si por el contrario, por necesidades expresas y justificadas de tu negocio necesitas usar esos canales, entonces se deben aplicar los controles de PCI DSS que se requieran, como lo comentaba más arriba (uso de criptografía robusta en el almacenamiento y transmisión de datos de tarjetas). Como siempre, mi sugerencia es que revises este caso puntualmente con tu asesor QSA quien te podrá dar una respuesta apropiada dependiendo de cada caso.

Debes estar registrado para responder a este debate.