map

Probablemente, tres de los elementos más importantes durante una evaluación de cumplimiento de PCI DSS son los diagramas de red, los diagramas de flujo y el inventario de activos, ya que permiten tener una visión general del entorno y de los elementos que lo conforman. En este artículo se discutirán una serie de puntos a tener en cuenta durante el desarrollo de los diagramas de red y los diagramas de flujo de datos para alinearlos con los requerimientos del estándar.

Diagramas de red

El diagrama de red es un requerimiento específico de PCI DSS:

1.1.2 Diagrama de red actualizado que identifique todas las conexiones entre el entorno de datos de titulares de tarjetas y otras redes, incluso cualquier red inalámbrica.

Este diagrama permite identificar de forma general los activos del entorno y su ubicación, la topología de la red, los controles de segmentación y las conexiones con redes externas. Es particularmente útil en la identificación del entorno de cumplimiento del estándar, durante la realización del análisis de riegos anual (req. 12.2), en la definición del alcance de los escaneos de vulnerabilidades y pruebas de penetración internas y externas, durante la revisión de las reglas de filtrado de paquetes (req. 1.7), en la identificación del impacto cuando se ejecutan cambios significativos (req. 6.4.6) y cuando ocurre un incidente de seguridad, para localizar los potenciales activos afectados y sus implicaciones con el resto de la red.

Para que un diagrama de red cumpla con los objetivos de PCI DSS debe:

  • Identificar de forma clara y precisa todas las redes y subredes (VLAN/VPC) dentro del ámbito de cumplimiento (si es posible, indicando también los direccionamientos IP y máscaras de red). Esto incluye también cualquier red inalámbrica presente en el entorno.
  • Identificar todos los entornos dentro del ámbito, incluyendo:
    • Redes en alta disponibilidad.
    • Redes de backup / BCP / DRP.
    • Redes para acceso fuera de banda (out-of-band) y redes de consolas.
    • Entornos de desarrollo, integración, test, pre-producción, etc.
  • Identificar todos los activos del entorno (equipos activos de red, servidores, estaciones de trabajo, bases de datos, etc.). En este punto, todos los activos identificados en el inventario deben contar con una representación gráfica en el diagrama de red, pudiendo emplear diferentes diagramas para describir diferentes redes:
    • En el caso que se emplee virtualización, se recomienda tener un diagrama específico de la infraestructura de virtualización (hipervisores), redes definidas por software (SDN) y hardware asociado. Igualmente con entornos que usan contenedores (containers).
    • Si se usa almacenamiento centralizado, se recomienda tener un diagrama específico indicando las conexiones desde y hacia dichas unidades de almacenamiento (SAN, unidades de backup, unidades de cinta, etc.).
    • Si se usan diferentes armarios (racks), se recomienda tener un diagrama de cada rack en donde se identifique el hardware almacenado y su ubicación.
  • Identificar las ubicaciones requeridas por PCI DSS (DMZ req. 1.3.1, red interna req. 1.3.6 y redes inalámbricas)
  • Identificar todas las conexiones con otras redes y sus tipos de conexión. Esto incluye conexiones con proveedores de servicio, entidades financieras, redes internas, oficinas y ordenadores remotos, etc. Se recomienda igualmente identificar los tipos de conexiones (MPLS, VPNs, etc.).
  • Identificar los elementos de seguridad perimetral que permiten separar la red de PCI DSS de otras redes. Estos elementos incluyen firewalls, routers, terminadores de VPN, balanceadores de carga, etc.
  • Cuando se emplean servicios provistos por proveedores de cloud (AWS, GCP, Azure, DigitalOcean, etc.) se deben identificar los servicios vinculados con el entorno a través de un ícono específico. Los conjuntos de íconos se pueden descargar:
  • Cada diagrama de red debe tener claramente identificado:
    • El nombre del diagrama
    • La versión actual
    • La última fecha de modificación
    • El nombre o rol de quien realizó la última modificación

A continuación se presenta un diagrama muy simple de una red PCI DSS a muy alto nivel con los componentes descritos anteriormente. Es importante también aclarar que no es obligatorio tener un único diagrama de red, se pueden tener cuantos diagramas se requieran. Si la red es muy compleja, se puede tener un diagrama de alto nivel (para contextualización) y diagramas adicionales por niveles o entornos.

Figura 1. Diagrama de red básico de PCI DSS

Figura 2. Diagrama de red de PCI DSS (fuente: appsec consulting)

Algunas herramientas para diseñar diagramas de red son:

Diagramas de flujo de datos

Por otro lado, el diagrama de flujo de datos permite la identificación de todas las ubicaciones por las cuales fluyen los datos de tarjetas y los estados de dichos datos (almacenamiento, transmisión y procesamiento) al igual que los controles de seguridad aplicados (tokenización, encriptación en tránsito, encriptación en almacenamiento, etc.). Desde la perspectiva de PCI DSS el diagrama de flujo corresponde al requerimiento 1.1.3:

1.1.3 Un diagrama actualizado que muestre todos los flujos de datos de titulares de tarjetas entre los sistemas y las redes.

Para que un diagrama de flujo de datos esté alineado con PCI DSS se requiere que:

  • Identifique todos los datos de tarjeta de pago que fluyen por la red (PAN, nombre del titular, fecha de expiración, CVV2, banda magnética, PIN/PIN Block, etc.)
  • Identifique todos los activos en los cuales se transmiten, procesan y/o almacenan los datos de tarjeta.
  • Identifique los estados de los datos de tarjeta (almacenados, procesados y/o transmitidos) y los controles de seguridad aplicados (encriptados, tokenizados, en texto claro, etc.)
  • Identifique todos los puntos de entrada (datáfonos, formularios web, teléfono, etc.) y salida de datos de tarjeta (hacia proveedores de pago, pasarelas, bancos, entidades externas).
  • Identifique las direcciones de los movimientos de los datos. Esto por lo general se realiza empleando flechas.
  • Al igual que con los diagramas de red, cada diagrama de flujo debe tener claramente identificado:
    • El nombre del diagrama
    • La versión actual
    • La última fecha de modificación
    • El nombre o rol de quien realizó la última modificación

Algunas veces se suele emplear el diagrama de red como base para desarrollar el diagrama de flujo, pintando sobre él las flechas de dirección de los datos y agregando los datos descriptivos de las acciones en cada paso en tablas adicionales, como se muestra a continuación:

data_flow_pcidss

Figura 3. Diagrama de flujo de datos (fuente: PCI SSC Information Supplement • Protecting Telephone-Based Payment Card Data)

Figura 4. Diagrama de flujo de datos (fuente: Arts Management Systems)

A modo de resúmen, hemos preparado la siguiente infografía (clic para ampliar):

Infografia_diagrama_red_flujo_pcidss

Avatar

Autor: David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS y TSP.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.