Como
respuesta a una necesidad que se venía presentando desde hace bastante
tiempo, el PCI SSC ha publicado el 9 de Mayo de 2013 dos nuevos
documentos:
Es importante aclarar que a pesar que son dos documentos diferentes (controles lógicos y físicos) no son excluyentes, son complementarios.
Payment Card Industry (PCI) Card Production Logical Security Requirements Version 1.0
Este documento está orientado hacia sistemas y procesos de negocio tales como personalización de tarjetas, generación de PIN, envío de PIN y distribución de plásticos, definiendo una serie de controles de seguridad lógica mínimos en el proceso de preparación, manufactura, transporte y personalización de tarjetas de pago y sus componentes.
El documento está dividido en las siguientes secciones:
Roles y responsabilidades
Este documento define una serie de controles físicos mínimos para empresas que manufacturan, personalizan y graban datos de tarjeta en chip o en banda magnética antes, durante y después de los siguientes procesos:
Al igual que todos los documentos del PCI SSC, estos requerimientos están publicados en la sección “Documents Library” de la página del Council: https://www.pcisecuritystandards.org/security_standards/documents.php.
Autor: David Eduardo Acosta - CISSP, CISA, CISM, PCI QSA, CCNA Security, OPST, CHFI Instructor, BS25999 Lead
Departamento de Consultoría
- PCI Card Production Logical Security Requirements v1.0
- PCI Card Production Physical Security Requirements v1.0
¿Cuál es el objetivo de estos requerimientos?
Debido a que por efectos operativos las empresas involucradas en el proceso de estampación y grabación de datos en tarjetas de pago almacenan y procesan información de datos del titular de la tarjeta y datos confidenciales de autenticación, el potencial riesgo que presentan frente a un robo de información y uso fraudulento es muy alto. Cada una de las marcas había desarrollado su propio conjunto de requerimientos, pero el cumplimiento de PCI DSS de estas empresas no estaba del todo claro. El PCI SSC dentro de sus FAQ (https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/Do-the-PCI-DSS-requirements-apply-to-card-manufacturers-embossers-card-personalizers-or-entities-that-prepare-data-for-card-manufacturing) publicó esta entrada (7/7/2009):“Do the PCI DSS requirements apply to card manufacturers, embossers, card personalizers, or entities that prepare data for card manufacturing?Por otro lado, el estándar PCI DSS v2 agregó una nota en el requerimiento 3.2 en la cual aclaran que bajo ciertas circunstancias especiales y justificadas, los emisores de tarjetas pueden almacenar datos confidenciales de autenticación, convirtiendo a estas entidades en una excepción que aún no estaba regularizada:
FAQ Response: Organizations that participate in data preparation, manufacturing, personalizing, and/or and embossing for plastic cards are considered Service Providers for purposes of PCI DSS and should adhere to PCI DSS. However, some payment brands may already have programs in place that include PCI DSS for entities that prepare data, manufacture, personalize, or emboss plastic cards – we encourage you to check with each payment brand about their requirements for these entities. Please contact the payment brands directly.”
Requerimiento 3.2 de PCI DSS: “… Nota: Es posible que los emisores de tarjetas y las empresas que respaldan los servicios de emisión almacenen datos confidenciales de autenticación si existe una justificación de negocio y los datos se almacenan de forma segura… "Con estos nuevos documentos, tanto los requerimientos físicos como los lógicos dentro de todo este proceso serán centralizados en el PCI SSC, lo cual facilitará su integración con estándares relacionados y permitirá una adopción más homogénea en las empresas afectadas mejorando los niveles de seguridad relacionados. Adicionalmente, estos requerimientos entrarán dentro del mismo ciclo de vida de los estándares del PCI SSC con actualizaciones cada tres años.
Es importante aclarar que a pesar que son dos documentos diferentes (controles lógicos y físicos) no son excluyentes, son complementarios.
Payment Card Industry (PCI) Card Production Logical Security Requirements Version 1.0
Este documento está orientado hacia sistemas y procesos de negocio tales como personalización de tarjetas, generación de PIN, envío de PIN y distribución de plásticos, definiendo una serie de controles de seguridad lógica mínimos en el proceso de preparación, manufactura, transporte y personalización de tarjetas de pago y sus componentes.
El documento está dividido en las siguientes secciones:
Roles y responsabilidades
- Personal de seguridad de la información
- Asignación de responsabilidades de seguridad
- Política de seguridad de la información
- Procedimientos de seguridad
- Planes de respuesta a incidentes y forenses
- Clasificación
- Cifrado
- Acceso a datos de titular de tarjeta
- Transmisión de datos de tarjeta
- Retención y eliminación de datos de tarjeta
- Manipulación de medios de almacenamiento
- Personalización de tarjetas contactless
- Definición de una red típica
- Requerimientos generales
- Dispositivos de red
- Cortafuegos
- Programas antivirus
- Acceso remoto
- Redes inalámbricas
- Pruebas de seguridad y monitorización
- Requerimientos generales
- Gestión de cambios
- Configuración y gestión de actualizaciones
- Logs de auditoría
- Diseño y desarrollo de software
- Implementación de software
- Gestión de usuarios
- Control de contraseñas
- Bloqueo de sesiones
- Bloqueo de cuentas
- Principios generales
- Claves simétricas
- Claves asimétricas
- Administración de seguridad en la gestión de claves
- Generación de claves
- Distribución de claves
- Carga de claves
- Almacenamiento de claves
- Uso de claves
- Copia de respaldo y recuperación de claves
- Destrucción de claves
- Registros de auditoría en la gestión de claves
- Compromiso de claves
- Hardware de seguridad para la gestión de claves (HSM)
- Principios generales
- Requerimientos generales
Este documento define una serie de controles físicos mínimos para empresas que manufacturan, personalizan y graban datos de tarjeta en chip o en banda magnética antes, durante y después de los siguientes procesos:
- Manufactura de tarjetas
- Grabación de datos en banda magnética
- Personalización de tarjetas
- Inicialización de chip o pre-personalización
- Grabación de datos en chip
- Personalización de chip
- Almacenamiento de tarjetas
- Envío de tarjetas
- Empleados
- Guardias
- Visitantes
- Proveedores de servicio externo
- Agentes de vendedores/fabricantes
- Estructura externa
- Seguridad externa
- Estructura interna y procesos
- Seguridad interna
- Plan de contingencia del negocio de vendedores/fabricantes
- Limitaciones en pedidos
- Aprobación de diseños de tarjetas
- Muestras
- Materiales y planchas de impresión – Acceso e inventario
- Tarjetas parcialmente finalizadas
- Obtención de componentes propietarios
- Controles de auditoría – manufactura
- Equipamiento de producción y componentes de tarjetas
- Tarjetas devueltas/Envío de PIN por correo
- Procedimientos de destrucción y auditoría
- Reportes de pérdida y robo
- Preparación
- Embalaje
- Almacenamiento previo al envío
- Distribución
- Envío y recepción
- Definición de responsabilidades por pérdida
Al igual que todos los documentos del PCI SSC, estos requerimientos están publicados en la sección “Documents Library” de la página del Council: https://www.pcisecuritystandards.org/security_standards/documents.php.
REFERENCIAS
www.pcihispano.comAutor: David Eduardo Acosta - CISSP, CISA, CISM, PCI QSA, CCNA Security, OPST, CHFI Instructor, BS25999 Lead
Departamento de Consultoría
