Tecnologías DLP (Data Loss Prevention) y PCI DSS

El uso de tecnologías DLP (Data Loss Prevention) motivado por el control de fugas de datos en un entorno, puede suponer una importante ayuda con el objetivo de detectar flujos de datos de tarjeta de crédito no autorizados. Sin embargo, también supone un nuevo proceso que involucra datos de tarjeta por lo que debe ser tenido en cuenta de cara a una adecuación a la norma PCI DSS.

 

Consideraciones de diseño
En primer lugar, será importante realizar un análisis de cual será tipo de DLP empleado. En función de la funcionalidad requerida podemos seleccionar uno o varios de los siguientes tipos:
  • DLP de red: analiza el tráfico que pasa a través de él. Generalmente es instalado cerca del perímetro de la infraestructura de red de la compañía (normalmente en DMZ) y analiza tráfico web, correo electrónico y protocolos de transferencia de datos)
  • DLP de punto final: analiza las comunicaciones internas y externas de la estación de trabajo o servidor en el que esté instalado.
  • DLP en modo descubrimiento: analiza repositorios de datos remotos a través de agentes instalados en el destino.

Flujo de funcionamiento
Generalmente, el flujo de funcionamiento de un sistema DLP en relación con la detección de fugas de información es la siguiente:


 

Consideraciones PCI DSS
Una de las principales consideraciones en relación con una plataforma DLP y la normativa PCI DSS es si genera nuevos flujos o repositorios de datos de tarjeta.

Un claro ejemplo de un repositorio de este tipo es la base de datos de cuarentena. Cuando la plataforma detecta una posible fuga de datos, generalmente almacenará una copia de la evidencia para su posterior análisis. En el caso de que no se trate de un falso positivo y se detecte un intento de fuga de datos de tarjeta, estos datos serán almacenados en la base de datos de la plataforma.

Mientras esto supone algo lícito de cara a la mejora de la seguridad de una compañía (siempre y cuando no se almacene información sensible no permitida como el código de verificación de tarjeta no presente (CAV2, CVC2, CVV2, CID), supone la creación de un repositorio de datos que debe ser debidamente protegido.

En cuanto a la generación de nuevos flujos, debe prestarse espacial atención al uso realizado de la información que contiene datos de tarjeta. Esta información no debería abandonar la plataforma DLP a no ser que haya una justificación para ello y se tomen las medidas de protección adecuadas.

Algunas de las medidas a tener en cuenta de cara al cumplimiento de PCI DSS serían las siguientes:

  • Cifrado: los datos de tarjeta almacenados en la base de datos de cuarentena deben ser debidamente protegidos a través de un método de cifrado robusto (generalmente proporcionado por la propia herramienta DLP).
  • Retención de datos: debido a que la base de datos de cuarentena  contendrá datos de tarjeta, se debe establecer un periodo de retención para dichos datos así como un procedimiento trimestral de eliminado de datos que hayan superado este periodo.
    Una consideración importante en este punto, es que la evidencia almacene información sensible como el código de verificación de tarjeta no presente en cuyo caso no podría ser almacenado.
  • Ubicación: la base de datos de cuarentena que contiene datos de tarjeta debe ser ubicada de forma segura en red interna y segmentada de cualquier red con acceso público (DMZ).
    Perfiles de acceso: se deben establecer unas medidas de control de acceso estrictas sobre quien tiene acceso a los datos de tarjeta (teniendo en cuenta base de datos de cuarentena y la propia herramienta DLP).
  • Bastionado: los elementos que componen la plataforma DLP deben ser debidamente bastionados conforme a los requisitos de la norma PCI DSS, en base a los manuales de fabricante y las buenas prácticas de la industria.
  • Alertas: se deben establecer alertas tanto para la detección de fugas de información como de acciones de administradores de la plataforma (en especial aquellos que estén relacionados con la visualización de datos de tarjeta).
    Estos eventos deben ser incluidos dentro del proceso de monitorización de eventos y, por lo tanto, dentro del procedimiento de respuesta a incidentes.
  • Flujo de tareas recurrentes: al igual que cualquier componente de un entorno PCI DSS, la plataforma DLP debería ser incluida dentro de las tareas recurrentes establecidas por la norma: escaneos, test de intrusión, gestión de cambios, gestión de vulnerabilidades, etc.

En resumen, aunque una plataforma DLP puede suponer una importante ayuda para la identificación de flujos de tarjeta no autorizados, también puede suponer un riesgo para el cual se deben establecer los controles adecuados teniendo en cuenta que dicha plataforma estará incluida dentro del ámbito PCI DSS de la compañía.


Autor: Javier Lorrio - CISSP, CISA, CCSA, CCSE
Departamento de Consultoría.

No hay comentarios:

Publicar un comentario en la entrada