Aprobación oficial del marco Privacy Shield



Finalmente, a fecha de 12 de Julio de 2016, la Comisión Europea y el Gobierno de los Estados Unidos ha aprobado Privacy Shield, un nuevo marco internacional que regula las transferencias de datos personales de ciudadanos de la Unión Europea entre compañías de Europa y los Estados Unidos. Dicho marco pasa a ser vigente desde el 1 de Agosto de este mismo año.

Esta aprobación llega con retraso, pretendiendo llenar el vacío legal existente con las transferencias de información entre ambos países, desde que el acuerdo Safe Harbor fuera anulado en octubre de 2015.

El contexto que llevó a la Comisión Europea a la elaboración del marco Privacy Shield y las características más destacadas del mismo fueron analizadas en detalle en anteriores entradas de este blog:

Privacy Shield, nuevo marco internacional de transferencia de datos
Primer borrador de Privacy Shield

Para ofrecer orientación a los grupos afectados con este nuevo marco, el gobierno de los Estados Unidos ha habilitado un portal público oficial, con la siguiente información útil:
  • Orientación a las empresas de los Estados Unidos que deseen adherirse al nuevo marco.
  • Orientación a las empresas de Europa que por sus actividades comerciales deseen hacer transferencias internacionales de datos personales de ciudadanos europeos a empresas de los Estados Unidos.
  • Orientación a los ciudadanos de la Unión Europea sobre los derechos de protección de sus datos personales en base a las características de este nuevo marco.
  • Orientación a las autoridades de protección de datos locales europeas (como por ejemplo la Agencia Española de Protección de Datos), sobre como adaptar sus regulaciones y normativas locales de cada país miembro a las necesidades de este marco de seguridad.
  • Listados oficiales de empresas de los Estados Unidos adheridas a dicho marco de protección de datos internacional.
Al igual que ya pasaba con el acuerdo internacional Safe Harbor, el marco Privacy Shield es de obligada aplicación para compañías de los Estados Unidos que deban llevar a cabo transferencias internacionales de datos personales de ciudadanos de la Unión Europea en sus actividades comerciales, y el programa de cumplimiento va a ser mantenido por el Departamento de Comercio de los Estados Unidos, concretamente por la agencia ITA (International Trade Administration).

Las compañías de los Estados Unidos que deseen adherirse a dicho marco, deberán registrase en el portal oficial indicado anteriormente, e iniciar un proceso de auto-certificación online, donde deberán demostrar su adecuación al mismo. Además, también deberán pagar unas tasas anuales al Departamento de Comercio de los Estados Unidos, que variarán en función del nivel de ingresos de la compañía afectada.

Referencias
http://europa.eu/rapid/press-release_IP-16-2461_en.htm
https://www.commerce.gov/news/secretary-speeches/2016/07/remarks-us-secretary-commerce-penny-pritzker-eu-us-privacy-shield
https://www.privacyshield.gov
http://blog.isecauditors.com/2016/02/privacy-shield-nuevo-marco-internacional-de-transferencia-datos.html
http://blog.isecauditors.com/2016/03/primer-borrador-de-privacy-shield.html

Vicente Aguilera participará en Catosfera: “Punt de trobada de la Internet catalana”

Las Jornadas de la Catosfera son un ciclo de debates en profundidad sobre las novedades tecnológicas y del mundo de Internet organizadas por el Ayuntamiento de Girona y Tirabol Producciones. Esta nueva edición de la Catosfera se celebrará en Girona, en el Centro Cultural de La Mercè, que cuenta con una capacidad de 252 asistentes, durante los días 13, 14 y 15 de Octubre de 2016.

Vicente Aguilera participará como ponente en las charlas del día 15 hablando sobre redes sociales, los riesgos que afectan a nuestra privacidad, y su uso como parte de investigaciones OSINT.


Más información en:
www.catosfera.cat

Vicente Aguilera participará nuevamente como jurado en el Hackathon del CyberCamp 2016

INCIBE, el Instituto Nacional de Ciberseguridad de España, organiza la edición 2016 de CyberCamp, el gran evento de ciberseguridad que nació con el objetivo de reunir a los mejores talentos en materia de ciberseguridad. Este año, el evento se llevará a cabo del 1 al 4 de diciembre, en León.

Después del éxito del año pasado, el evento vuelve a repetir el Hackathon, donde distintos equipos competirán para desarrollar o mejorar herramientas de seguridad open-source.
Hackathon, es un encuentro presencial de desarrollo colaborativo de software (o hardware) en un corto periodo de tiempo.  Tendrá lugar durante 42 horas aproximadamente, distribuidas en los diferentes días asociados al evento CyberCamp 2016.

Vicente Aguilera ha sido invitado otro año más a formar parte del experto jurado del Hackathon, compuesto por 6 miembros.

Más información:
https://cybercamp.es/competiciones/hackathon

Los nuevos retos que nos trae PA DSS en la versión 3.2.

Siguiendo su ciclo de tres años, este año el PCI SSC se ha adelantado y ha publicado nueva versión de sus estándares más importantes como lo son el PCI DSS y el PA DSS, en ambos (la versión anterior era la 3.1) han publicado entre los meses de Abril y Mayo la nuevas versiones PCI DSS 3.2 y PA DSS 3.2. Pero, ¿qué nos trae de nuevo esta versión de la norma? Para aclarar esto, primero abarcaremos los cambios que nos trae esta nueva versión para luego revisar el detalle y poder identificar los retos que implica llegar al cumplimiento de las aplicaciones.

Para detallar cuales son los nuevos cambios que incorpora la norma y los retos que eso nos implica, es necesario entender los tipos de cambios que se presentaron en la nueva versión:
  • Aclaraciones: Explicaciones de la intención de los requerimientos.
  • Guías Adicionales: Explicaciones, definiciones o instrucciones que aumentan el entendimiento de la norma.
  • Requerimientos que evolucionan: Cambios a la norma que aseguran que el estar está actualizado a las nuevas amenazas y cambios en el mercado.
Dicho esto,  el PCI SSC hizo un cambio importante con respecto a las versiones anteriores en cuanto a la exigencia de migración de los protocolos SSL e implementaciones tempranas de TLS, a protocolos seguros. En esta nueva entrega, se otorga un plazo a las entidades de migrar hasta junio del 2018, sin embargo las aplicaciones que deseen tener el cumplimiento en PA DSS no deben usar o soportar estos protocolos inseguros dado que no son considerados criptografía fuerte tal como lo menciona la norma “…SSL e implementaciones tempranas de TLS no se consideran criptografía fuerte. Las Aplicaciones de pago no deben usar, o apoyar el uso de SSL e implementaciones tempranas de TLS. Las aplicaciones que utilizan o soportan TLS no deben permitir un retroceso a SSL…” .Inclusive PCI DSS v3.2. tiene un ANEXO A2 que abarca la exigencia de la migración. Esta migración es necesaria dado las diferentes vulnerabilidades encontradas en estos protocolos.

Por otro lado, la norma (PA DSS) tiene otros principales cambios que son importantes de remarcar:



Req
Cambio
Tipo
-
Se retiran ejemplos de protocolos fuertes
Aclaración
2.2
Remarca la necesidad de tener una justificación de negocio (business need) para mostrar PAN no enmascarado y ejemplos de enmascaramientos de PAN
Nuevo Requerimiento
2.3.a (procedimiento de test)
Cuando se requieran logs de depuración de la aplicación y estos contengan PAN, deben ser protegidos de acuerdo a lo requerido por PCI DSS, desactivados tan pronto como se finalizan las tareas de depuración y eliminados de forma segura una vez no se necesitan
Nuevo Requerimiento
5.1.7
La capacitación a los desarrolladores debe estar actualizada y realizarse anualmente
Aclaración
7.2.3
Instrucciones en la Guía de Implementación en cómo instalar los parches y actualizaciones en forma segura
Nuevo Requerimiento
8.3, 10.1
Aclaración del término autenticación por multi-factor.
Aclaración
Requerimiento  12
Requerimiento 12 cuenta con un nuevo nombre: Asegurar todos los accesos administrativos que no son por consola
Aclaración
12.2
Todos los accesos que no son por consola deben utilizar autenticación multi-factor
Nuevo Requerimiento
Apéndice  A
Actualizaciones al apéndice A (Resumen de contenido de la Guía de Implementación) teniendo en cuenta todos los cambios en la norma
Aclaración


En consecuencia, la norma nos plantea nuevos retos que deben ser adecuados para las solicitudes de certificación a partir del 31 de Agosto del 2016, fecha en la que el estándar PA DSS 3.1 deja de ser válido y entra en vigencia únicamente la versión 3.2. Por lo tanto, es necesario entender estos nuevos ajustes que fueron presentados, desglosando los cambios para entender mejor su implicación y qué tareas será necesario llevar a cabo para poder lograr su cumplimiento.

En la nueva versión se retiran los ejemplos de protocolos de seguridad o seguros. Los protocolos de seguridad son protocolos de red designados para asegurar las transmisiones de datos, por ejemplo, y no limitado a, TLS, IPSEC, SSH, HTTPS, etc. Se retiran los ejemplos debido a que no se tiene certeza lo que a un futuro sea un protocolo fuerte de cifrado, por lo tanto los fabricantes de software deben estar actualizados en cuanto a las vulnerabilidades de los protocolos utilizados o soportados por su aplicación y en caso de contar con alguno vulnerable, se debe realizar la migración a alguno si considerado como seguro. Para mantenerse el día en este tipo de noticias es recomendable estar  afiliados a boletines de noticias de seguridad como lo son el del US CERT (https://www.us-cert.gov/ncas/bulletins), AU CERT (https://www.auscert.org.au/render.html?cid=1), entre otros. Para aplicaciones que están en su primera solicitud de certificación es indispensable que en la valoración de riesgos de la aplicación (labor a realizar en el momento del diseño de la aplicación) se identifiquen estos tipos de requerimientos o dependencias para garantizar que la aplicación no use o soporte protocolos inseguros.

Por otro lado, la norma aclara en el requerimiento 2.2 que debe obligarse a tener autorización para visualizaciones del PAN (Primary Account Number, es decir el número de la tarjeta) completo, y el que no cuente con dicha autorización, debe verlo enmascarado. Se aclara que el PA QSA debe validar en las pantallas donde se muestra el PAN y validar como se configura la aplicación para poder garantizar que sólo las personas con la necesidad legítima de negocio pueden verlo completo. Esto implica que se debe definir un proceso para dicho fin y se debe poder configurar a nivel de aplicación qué usuarios pueden ver el PAN completo y cuales lo deben ver enmascarado, puede ser definiendo diferentes perfiles y requiriendo autorización para poder asociar el perfil con vista completa a los usuarios definidos. Así mismo, dicho procedimiento de cómo realizar esta labor debe estar documentado en la Guía de Implementación. Complementando eso, se define los requerimientos de enmascarado en donde se puede mostrar máximo los 6 primeros de la tarjeta (BIN – Bank Identification Number) y los cuatro últimos, especificando que si sólo se requieren los últimos 4 se pueden mostrar sin necesidad del BIN.

Así mismo, se complementó el procedimiento de test 2.3.a para incluir que sí está habilitada la depuración de la aplicación (por ejemplo para solución de problemas) y el PAN es incluido en los logs de depuración, estos log deben ser protegidos de acuerdo a lo mencionado por PCI DSS. Esto implicaría que estos logs deben almacenarse cifrados, deben ser protegidos para que no sean alterados y debe restringirse su consulta sólo al personal con la necesidad de conocer, deshabilitarse una vez se hayan solucionado todos los problemas y borrado seguro sobre todos los logs generados. Por tanto, se debe incluir en la guía de implementación una descripción del proceso de los pasos mencionados anteriormente y así mismo modificar las aplicaciones para que se cumpla con lo requerido para estos logs de depuración.

Otro cambio exigido por la nueva norma en el requerimiento 5.1.7, es que la capacitación a los desarrolladores referente a implementar seguridad en el ciclo de vida del desarrollo de software, codificación segura, revisión de código, manejo de información sensible en memoria, pruebas de seguridad y técnicas de valoración de riesgos a las aplicaciones se realicen anualmente y se encuentre actualizada a los nuevos retos, tecnologías, vulnerabilidades, amenazas, etc. que hay en el mercado. Estas capacitaciones pueden ser impartidas por personal interno capacitado o terceros,  en sitio o virtuales.

Otra aclaración que la norma implementó es sobre la autenticación utilizando diversos factores, donde se habla de multi-factor. En la autenticación existen diferentes tipos de factores los cuales son:
  • Algo que se sabe (p.e. usuario/contraseña, passphrase )
  • Algo que se es (p.e. huella digital)
  • Algo que se tiene (p.e. Token, Certificado digital, tarjeta de coordenadas)
En versiones anteriores, la norma daba como válida la autenticación de doble factor, en donde se debía utilizar dos factores para autenticaciones remotas, sin embargo en esta nueva versión, aclararon que la terminología correcta es “multi-factor” en donde es posible utilizar dos o más factores en el momento de autenticar conexiones remotas. Tema que también nos lleva a hablar sobre el nuevo requerimiento 12.2, el cual exige que todos los accesos administrativos que no sean por consola, deben ser mediante autenticación multi-factor. Por lo tanto las aplicaciones deben proveer este tipo de autenticaciones, como por ejemplo validar tokens, certificados digitales, tarjetas de coordenadas, etc. adicionalmente a la validación de usuario y contraseña o poder soportar de otras herramientas para estos tipos de autenticación.

Un nuevo requerimiento planteado en la norma es el 7.2.3. Este numeral requiere instrucciones sobre cómo instalar de forma segura los parches y/o actualizaciones. Para lo cual los fabricantes de software deben documentar las instrucciones en cómo se va a notificar a los clientes sobre parches y actualizaciones, cómo van a ser distribuidos de forma segura e instrucciones en cómo debe instalarse de manera segura para que no se pierda la integridad del código. Esto implica que se debe incluir en la Guía de Implementación pautas para este requerimiento y el reto principal es definir mecanismos y procedimientos para poder entregar las modificaciones en el código a los clientes sin que se impacte la seguridad del mismo.

Finalmente, se hacen aclaraciones en la norma como el cambio de nombre del requerimiento 12 para que refleje más la intención del requerimiento, el cual es el proteger las conexiones administrativas dado que se maneja información sensible (como credenciales de los administradores). Y, otras aclaraciones son sobre el Apéndice A (resumen del contenido de la guía de implementación) para reflejar los cambios en todos los requerimientos que cambiaron y que impactan la guía.

Como conclusión se puede observar que los cambios sobre la norma están orientados a proteger las comunicaciones entrantes y salientes de las aplicaciones, proteger la información sensible y estar al día con las amenazas emergentes y cambios en el mercado. Sin embargo, los cambios no son de gran impacto para aplicaciones ya certificadas o en proceso de certificación ya que la mayoría de los cambios son aclaraciones y los impactos nuevos, en su mayoría recaen sobre la guía de implementación. Por tanto, el reto y el mayor impacto afecta a la actualización de la guía de implementación y muy pocos cambios sobre el diseño y/o codificación de las aplicaciones.


Referencias


Autor: David A. González - PCI-QSA, PA-QSA, PCIP
Departamento de Consultoría.

Fundamentos de almacenamiento de la información

Hemos visto en entradas anteriores de este blog cómo eliminar la información de manera adecuada en dispositivos extraíbles de almacenamiento de información, para que ésta no quede remanente en dichos dispositivos y no pueda ser recuperada en un futuro por una persona no autorizada:
No obstante, para acabar de entender de manera correcta los distintos procesos de borrado de información digital, necesitamos conocer previamente las particularidades de cada uno de los distintos soportes de almacenamiento de información digital existentes.

En esta entrada veremos las particularidades de cada uno de dichos soportes de almacenamiento.

Soportes de almacenamiento magnético
Los soportes magnéticos son los dispositivos de almacenamiento de información más antiguos, y que todos tenemos en mente, ya que los primeros disquetes (que seguro que todos recordamos) funcionaban de dicha manera. No obstante, el almacenamiento basado en soportes magnéticos sigue estando a la orden del día, y siendo altamente utilizado de hecho, como por ejemplo en el caso de los discos duros magnéticos (HDD) o las cintas de Backup.


En este caso, el almacenamiento de la información se basa en las propiedades magnéticas de las partículas contenidas en dichos medios. Lo que se hace para grabar la información en el dispositivo es dividir el soporte o plato en slots (de manera conceptual), y polarizar de una manera determinada las partículas magnéticas de cada uno de dichos slots, de manera que se pueda comprobar posteriormente la dirección de dicha polarización, y saber si corresponde a un “0” o un “1” a nivel digital. Para ello, y mediante la estimulación eléctrica del cabezal de escritura, se genera un campo electromagnético en el mismo, con la intensidad necesaria para modificar la orientación de las partículas magnéticas de dicho soporte.

Posteriormente, la lectura de los datos se consigue a través de la pequeña corriente eléctrica que se genera en la cabeza de lectura, al pasar por encima de cada uno de los slots magnetizados que conforman el soporte. La polaridad de dicho corriente eléctrico varía en función de la orientación de las partículas magnéticas contenidas en cada slot, y que han sido polarizadas en el proceso de grabación de la información. En función de la orientación del campo magnético, el sentido de la corriente será uno u otro, y se podrá distinguir si la información grabada en un slot concreto corresponde a un “1” o a un “0”.


Por lo tanto, si en los procesos de borrado de información logramos desmagnetizar todas las partículas de un soporte, con técnicas como el Degaussing o desmagnetización, variamos la polaridad de dichas partículas (con técnicas de sobreescritura de información) o bien destruimos físicamente todos los slots del soporte, nos aseguraremos que la información contenida en el dispositivo no quedará remanente en el soporte para ser recuperada en un futuro por personal no autorizado.

Soportes de almacenamiento electrónico
Los medios electrónicos son también altamente utilizados en la actualidad, en memorias de todo tipo, como memorias RAM, memorias flash o pendrives externos.


En este tipo de dispositivos, el almacenamiento de información digital se basa en transistores. Dichos dispositivos electrónicos facilitan o impiden el flujo de la corriente eléctrica entre su colector i su emisor, dependiendo de si se introduce o no voltaje en la base del transistor (Vin).

De esta forma, si polarizamos el transistor de una manera determinada cuando grabamos la información digital, posteriormente podemos comprobar en los procesos de lectura de información qué dígito concreto hemos guardado para cada transistor (nuevamente hay dos opciones, “0” o “1” a nivel digital).

Así pues, y para realizar una lectura de información, lo que hacemos es introducir un voltaje en Vcc, y realizar una lectura en Vout. Si hemos polarizado el transistor para que permita la corriente entre el colector y el emisor, en Vout tendremos un voltaje determinado, y consideraremos que se corresponde a un “1” a nivel digital. Si por el contrario hemos polarizado el transistor para que no permita el flujo eléctrico entre el colector y el emisor, en Vout tendremos cero volts (circuito abierto), de manera que determinaremos que el dato digital grabado en dicho transistor se corresponde a un “0”.

 Evidentemente, las memorias electrónicas han evolucionado mucho, existiendo en la actualidad varios tipos de transistores diferentes, e integrando un alto volumen de dichos elementos en las conocidas placas electrónicas, pero las bases de dichos medios de almacenamiento son las comentadas anteriormente.

En los procesos de borrado de la información contenida por dichos soportes, lo que debemos hacer es variar la polaridad de cada uno de dichos transistores (con técnicas de sobreescritura de información), o bien destruir físicamente todos los transistores del soporte, de manera que nos aseguremos de que la información almacenada en el mismo no pueda ser recuperada en un futuro.

Soportes de almacenamiento óptico
Los soportes ópticos son ampliamente conocidos por todos, y seguro que todos nosotros tenemos alguno de dichos dispositivos en casa. En esta categoría entran soportes como CD’s, DVD’s, discos de Blu-Ray, etc.


Para grabar la información digital en este tipo de soportes, lo que se hace es modificar la estructura metálica que cubre los discos con un láser de escritura, introduciendo un plano (land) o un orificio (pit) para cada uno de los spots del disco, que representarán cada uno de los bits grabados en dichos dispositivos.

En el proceso de lectura de información, lo que se hace es emitir un láser de lectura, que tiene una potencia más débil que el de escritura, para evitar que se corrompa el soporte, y que se refleja o no en cada spot del disco en función de si encuentra un plano o un orificio. En el caso de que la luz se refleje (debido a que existe un plano en el spot), el haz de luz modifica su fase al ser reflejado (se polariza la luz unos 180°), haciendo que éste sea fácilmente redirigible a través de un prisma de filtrado de luz según su fase. En el otro extremo del prisma, nos encontramos un sensor de luz, que emitiría un “1” en el caso de recibir el haz de luz. En el otro caso, en el que el haz de luz emitido se encuentra un orificio en un spot concreto,  éste simplemente no se reflejaría, y por lo tanto el sensor de luz del extremo del prisma no detectaría nada, y se generaría un “0” como output.


Así pues, y para borrar de manera segura toda la información contenida en dichos soportes ópticos, debemos destruir físicamente todos los spots del soporte, o bien es variar la estructura de mismos con técnicas de sobreescritura de información (solo en el caso de tratarse de un disco óptico regrabables).

Como curiosidad, y ahora que conocemos la lógica de almacenamiento de información existente en los soportes ópticos, vemos que algunos de los medios más modernos, como el Blu-ray, utilizan un haz de luz azul en vez de uno rojo (el utilizado en los CD-ROM/DVD). La longitud de onda de un haz de luz azul es menor que el de un haz de luz rojo, como podemos ver en la siguiente imagen, y por lo tanto, en la misma superficie de disco podrán grabarse muchos más spots que en un CD-ROM/DVD, que a su vez se traduce en que se podrán grabar muchos más bits a nivel digital. Por eso, los discos de Blue-ray tienen mucha más capacidad de almacenamiento que los medios basados en CD-ROM/DVDs.



Autor: Guillem Fàbregas - PCI QSA, PCIP, CISSP, CISA, CISM, CRISC, ISO 27001 L.A.
Departamento de Consultoría.

Internet Security Auditors estará en el ANDICOM 2016 (Colombia)

ANDICOM 2016 es un evento TIC que se celebra en Cartagena de Indias (Colombia) que se está situando como foro de referencia TIC en la región. Al evento asisten todo tipo de empresas  de diferentes sectores Financiero, Seguros, Gobierno, TIC, etc.

El evento se celebrará en los días del 31 de agosto al 2 de septiembre en el Centro de Convenciones de Cartagena de Indias.

Internet Security Auditors estará en el ANDICOM 2016, gracias a la ayuda del organismo de la Generalitat de Catalunya, Acció, para la promoción de las empresas catalanas en el exterior, donde 8 empresas catalanas, entre las que nos encontramos nosotros, con el fin de poder ampliar nuestro oferta de servicios a empresas importantes y reconocidas de toda Colombia. Durante el congreso, además, presentaremos casos de éxito en proyectos ejecutados en diferentes áreas como son PCI DSS, PA-DSS, ISO27001, ISO22301, Madurez en S-SDLC en proyectos internacionales con clientes en Colombia y América en general.

Más información sobre el evento:
http://andicom.co/

Vicente Aguilera ponente en el Overdrive Hacking Conference

Overdrive Conference es un evento internacional, que se celebrará los días 24-25 noviembre, y que tendrá lugar en la Escuela Politécnica Superior de la Universidad de Girona.

Vicente Aguilera participará como ponente para hablar sobre investigaciones OSINT, un tema en auge y de gran actualidad en los últimos tiempos. El evento también contará con ponentes de países muy diversos, por lo que todas las conferencias serán efectuadas en inglés.

El objetivo principal es acercar a todas aquellas personas interesadas en esta disciplina, ya sea profesional o amateur, a través de ciclos de conferencias y otras actividades gratuitas que proporciona el evento.

Más información en:
http://overdriveconference.com/