Capture

Cuando se procesan, almacenan o transmiten datos de tarjetas de pago por razones operativas del negocio, es indispensable el despliegue e implementación de controles de seguridad para prevenir potenciales fraudes y robos de datos sensibles. Es aquí en donde entra el estándar PCI DSS (Payment Card Industry – Data Security Standard), que define una serie de criterios para la protección de los datos de tarjetas de pago. Este estándar debe ser cumplido tanto por comercios como por proveedores de servicio, sin excepción.

No obstante, este estándar es bastante complejo en términos técnicos, administrativos, físicos y documentales y cuando nos enfrentamos con un proyecto de implementación de esta magnitud desde cero no sabemos por dónde empezar, lo cual puede desmotivar al más enérgico de los CISOs. ¿Empezamos por los firewalls? ¿Qué tal si instalamos ahora los antivirus o el FIM? ¿Y si desplegamos la gestión de logs? O mejor, ¿encriptamos todos los datos de tarjeta que tenemos?. Las respuestas a estas preguntas deben soportar las decisiones a nivel directivo para la definición de presupuestos, personal, tiempos y recursos junto con la priorización y dependencias de tareas. Una mala decisión puede afectar a la organización y a la planificación total de proyecto.

Obviamente, todos los controles son obligatorios y deben ser implementados de forma homogénea en el entorno de cumplimiento, por lo que vendría MUY BIEN poder abordar la implementación total por fases en función del riesgo que mitigarán cada uno de los controles… Pues bien, es en este momento en el que “The Prioritized Approach to Pursue PCI DSS Compliance” (El enfoque priorizado para cumplir con PCI DSS) hace su aparición.

The Prioritized Approach to Pursue PCI DSS Compliance

Gracias a los comentarios y experiencias de QSAs, investigadores forenses y del Consejo Asesor del PCI Security Standards Council se ha desarrollado este documento que sirve como guía para la implementación de los controles de PCI DSS, aportando los siguientes beneficios:

  • Define una hoja de ruta que le permite a la organización gestionar sus riesgos de acuerdo con un orden de prioridad
  • Establece un acercamiento pragmático orientado a proyectos que permite la definición de hitos de cumplimiento
  • Sirve como soporte a la planificación financiera y operativa
  • Facilita la definición y gestión de objetivos e indicadores de progreso medibles
  • Promueve la consistencia de criterios entre asesores

Siguiendo estos criterios, el documento “The Prioritized Approach to Pursue PCI DSS Compliance” cataloga cada uno de los controles de PCI DSS con base en el riesgo que gestiona en una escala de 1 a 6 de acuerdo con los siguientes criterios:

HitoObjetivo
1
Remover datos de autenticación confidenciales (Sensitive Authentication Data - SAD) y limitar la retención de datos (10 controles): Este hito está focalizado a un área clave de riesgo para organizaciones que han sido comprometidas. Es importante recordar que si los datos de autenticación confidenciales (SAD) y otros datos de la tarjeta de pago no son almacenados, los efectos de un potencial compormiso de seguridad serán ampliamente reducidos. Si no lo necesitas, no lo almacenes.
2
Proteger los sistemas y redes y prepararse para responder ante una brecha de seguridad (65 controles): Este hito se orienta a la implementación de controles en los puntos de acceso con mayor riesgo y los procesos para responder ante incidencias.
3
Asegurar las aplicaciones de tarjetas de pago (35 controles): Este hito define los controles necesarios para la protección de aplicaciones, procesos y servidores de aplicación. Las debilidades en estas áreas ofrecen un punto vulnerable para comprometer sistemas y obtener acceso a datos de tarjetas de pago.
4
Monitorizar y controlar el acceso a sistemas (61 controles): Los controles de este hito le permiten a la organización detectar quién, qué, cuándo y cómo se accede a la red y al entorno de datos de tarjetas de pago (Cardholder Data Environment)
5
Proteger datos de tarjetas de pago almacenados (27 controles): Para aquellas organizaciones que por consideraciones del negocio requieren almacenar el dato del PAN (Primary Account Number), este hito establece los mecanismos claves para la protección de estos datos almacenados.
6
Finalizar los esfuerzos restantes y asegurar que todos los controles están implementados de manera correcta (31 controles): El objetivo del hito 6 es completar los requerimientos de PCI DSS y finalizar todas las políticas, procedimientos y procesos restantes requeridos para proteger el entorno de cumplimiento.

Es MUY importante tener presente que el enfoque priorizado para cumplir con PCI DSS es un documento de soporte y recomendado, pero no es obligatorio seguirlo ni remplaza al estándar PCI DSS como tal. En función de las necesidades, cada organización puede esquematizar sus proyectos de cumplimiento independientemente a lo descrito en este enfoque.

¿Cómo utilizar el documento “The Prioritized Approach to Pursue PCI DSS Compliance”?

Este documento está conformado por dos partes:

  • Un documento en PDF que contiene una descripción de la metodología
  • Una hoja de cálculo que facilita el seguimiento operativo en la implementación de controles

Ambos documentos se pueden descargar de la biblioteca de documentos del PCI SSC.

La hoja de cálculo contiene cada uno de los controles del estándar, su clasificación con base en el enfoque priorizado (de 1 a 6), su estado de cumplimiento actual (SI – NO – N/A), el estado de implementación (planificado, implementación en progreso, implementado pero no validado) y una fecha estimada de finalización. Con estos valores se rellena un tablero de mandos que le permite a la Dirección conocer el estado de finalización de cada hito (en términos porcentuales) y las fechas planificadas de cierre.

Tal como se ha descrito, esta es una herramienta invaluable en el momento de iniciar o continuar un proyecto de implementación de controles de PCI DSS y permite integrar conceptos de gestión de proyectos con el fin de priorizar acciones y establecer metas realistas.

¿Tienes alguna experiencia con esta herramienta? ¿Te ha servido en la planificación de los proyectos de implementación de PCI DSS? Cuéntanos tu experiencia en el foro o en  Twitter, LinkedIn, Facebook o Google+ y no olvides seguirnos vía RSS.