slide2

El alcance de PCI DSS durante el transcurso de la certificación nos permitirá:

  • Tener identificados y controlados todos los pasos y tareas del proyecto
  • NO perder el foco y objetivos del proyecto
  • Tener controlados los costes del proyecto y costes de mantenimiento

En definitiva: Una correcta identificación del alcance de cumplimiento nos permitirá definir una estrategia de certificación que se acomode con el negocio de la empresa e infraestructura de la compañía.

La definición de un entorno controlado va en proporción inversa a la evolución de los sistemas y tecnología; es ahí donde encontrar un equilibrio entre funcionalidad y seguridad para un entorno de PCI viene a ser un auténtico desafío.

¿Cómo defino el alcance de mi proyecto?

El estándar  PCI DSS define como alcance lo siguiente:

Cualquier componente de sistemas que contenga o interactúe con una plataforma de tarjetas de pago”[1], la definición para una plataforma de tarjetas de pago según el estándar es en cuanto a los procesos electrónicos “… todo dispositivo de red, servidores o aplicaciones que contengan, procesen, transmitan o almacenen datos de tarjetas de crédito y dispositivos de autenticación…”.  Debemos incluir también en esta definición a las personas y procesos involucrados en el tratamiento de tarjetas de pago pero el presente artículo nos permitirá definir a nivel técnico un alcance mas claro de PCI DSS.

Con esta definición parece muy fácil, pero el alcance dependerá del entorno en el que se quiera aplicar la certificación y también del tipo de negocio o procesos que lleve la empresa. Para la definición del alcance es muy importante identificar todos los flujos lógicos por los que pasan los datos de tarjetas de pago [2]. Una vez identificados estos procesos/flujos, se tienen que identificar TODOS los dispositivos involucrados en estos procesos. Haciendo un símil con un entorno biológico, los dispositivos dentro del alcance vendrían a ser el “foco de infección” de PCI DSS, ya que la definición incluye a los dispositivos/sistemas que “interactúan” con cualquiera de los dispositivos/sistemas envueltos en los procesos identificados, sin mencionar a los sistemas de autenticación, que como coletilla suma aún mas complejidad en la correcta definición del alcance. Parece complicado, pero si – por ejemplo – tuviéramos un servidor de base de datos con información de tarjetas de pago conectado a nivel 2 (LAN) con otros servidores, entonces dichos servidores conectados a esta misma red entrarían dentro del alcance de PCI DSS. Es en este punto en donde la definición del “alcance” empieza a “complicarse”. Existen muchas condiciones que pueden hacer que el alcance de PCI DSS se extienda al infinito. Algunas de las condiciones para definir el alcance son:

  • Sistemas o dispositivos de red conectados a nivel 2 (OSI)
  • Sistemas o dispositivos a nivel 3 (OSI) en cuya lógica de conexión sean iniciadores
  • Sistemas o dispositivos virtuales bajo el mismo Hipervisor [3]
  • Sistemas de autenticación
  • Dispositivos remotos de administración

La visión termina siendo la siguiente:

Network1

Tomando en cuenta las anteriores definiciones, el alcance empieza a complicarse, llegando a incluir muchos sistemas y dispositivos de red entre servidores, aplicaciones, conmutadores, firewalls, sistemas operativos, etc. Se debe incluir también un parámetro que no es del todo medible o predecible que se llama “percepción del auditor”, el cual puede variar de una persona a otra e influir en mayor o menor medida en el proyecto, una consultoría ayudaría a diseñar una estrategia de respuesta de cara al auditor para “defender” de alguna forma el gran preciado “alcance”. En este artículo citamos algunas estrategias para la correcta definición del alcance y minimización del impacto de implementar esta certificación:

  • Segmentación
  • Monitorización
  • Gestión de riesgos

Segmentación: Es una tarea que puede ser simple o titánica, se trata de aislar a nivel 2 y en lo posible nivel 1 (modelo OSI) la lógica de comunicaciones de los componentes que forman parte del CDE. Esta segmentación permitirá enfocar los esfuerzos de PCI DSS en un entorno controlado. Esta segmentación  debe incluir un firewall dedicado que será el límite de lo está dentro y fuera del alcance. No es un requerimiento sin embargo ayudará a enfocar el esfuerzo de PCI al entorno que deba serlo. No es una obligación para conseguir la certificación, pero es una buena práctica.

Network2

Monitorización: Los entornos son muy complejos y el alcance es algo que de la misma forma va “complicándose”. En un entorno ideal se podrían “aislar” todos los componentes de PCI DSS, pero en la práctica no siempre es así.  La pregunta es: ¿Qué nivel de segmentación es necesaria en esta maraña de sistemas que permitan definir un alcance claro? Con cada nuevo sistema la complejidad y costes de mantenimiento de PCI DSS no crecen de manera proporcional sino de forma exponencial.  Es aquí donde la monitorización juega un papel importante, cualquier factor externo del cual dependa de una u otra forma un entorno de PCI DSS y que no pueda segregarse, debe monitorizarse. Por ejemplo: repositorios de actualización de Sistema Operativos, grupos externos que se sincronizan con roles clave para el entorno de PCI.  La monitorización nos permitirá proteger de forma reactiva (no proactiva) cualquier factor externo que represente una amenaza potencial para un entorno PCI DSS.

Alcance

Gestión de riesgos: Uno de los requerimientos de PCI DSS es tener una adecuada gestión de riesgos (req. 12.1.2), sin embargo este punto también podría utilizarse para minimizar el alcance. Una adecuada gestión de riesgos deberá tomar en cuenta factores externos que por cualquier motivo no fue posible incluirlos en la zona segmentada, de tal forma que cualquiera de estos riesgos puedan minimizarse al mismo nivel (o más allá) que el requerimiento PCI DSS que no se pueda implementar. Esto se conoce como “medidas compensatorias” (o “controles de compensación”, como los llama el estándar (ver Anexo B de PCI DSS)), no es muy bien recibido pero al final se debe analizar el coste de implementación de alguno de los requerimientos vs. el coste de implementación de la medida compensatoria. Cabe mencionar aquí que la firma y aceptación de cualquier medida compensatoria tiene asociados costes extra y cada una de las medidas compensatorias debe ser validada y aceptada por el QSA [4]-

Conclusión: El alcance de PCI DSS es un aspecto de la certificación que da muchos problemas a la hora de su definición y puede variar dependiendo del punto de vista del auditor. Sin embargo, es la fase con mayor importancia del proyecto ya que de ahí nace toda la estrategia de certificación y permitirá tener un entorno más controlado a la hora de definir costes iniciales y – lo más importante – costes recurrentes de mantenimiento de la certificación.


[1] CDE (Cardholder Data Environment): Entorno de titular de datos de tarjeta
[2] PAN, Nombre del titular de tarjeta, Caducidad tarjeta, Códigos de seguridad, PIN/PINBlock, datos de la banda magnética
[3] Hipervisor: Infrastructura lógica base de los sistemas y comunicaciones virtuales
[4] PCI DSS QSA (Qualified Security Assesor): Auditor acreditado por el PCI SSC para certificar una plataforma PCI DSS