Analytics

martes, 28 de julio de 2015

Tecnologías DLP (Data Loss Prevention) y PCI DSS

El uso de tecnologías DLP (Data Loss Prevention) motivado por el control de fugas de datos en un entorno, puede suponer una importante ayuda con el objetivo de detectar flujos de datos de tarjeta de crédito no autorizados. Sin embargo, también supone un nuevo proceso que involucra datos de tarjeta por lo que debe ser tenido en cuenta de cara a una adecuación a la norma PCI DSS.

 

Consideraciones de diseño
En primer lugar, será importante realizar un análisis de cual será tipo de DLP empleado. En función de la funcionalidad requerida podemos seleccionar uno o varios de los siguientes tipos:
  • DLP de red: analiza el tráfico que pasa a través de él. Generalmente es instalado cerca del perímetro de la infraestructura de red de la compañía (normalmente en DMZ) y analiza tráfico web, correo electrónico y protocolos de transferencia de datos)
  • DLP de punto final: analiza las comunicaciones internas y externas de la estación de trabajo o servidor en el que esté instalado.
  • DLP en modo descubrimiento: analiza repositorios de datos remotos a través de agentes instalados en el destino.

Flujo de funcionamiento
Generalmente, el flujo de funcionamiento de un sistema DLP en relación con la detección de fugas de información es la siguiente:


 

Consideraciones PCI DSS
Una de las principales consideraciones en relación con una plataforma DLP y la normativa PCI DSS es si genera nuevos flujos o repositorios de datos de tarjeta.

Un claro ejemplo de un repositorio de este tipo es la base de datos de cuarentena. Cuando la plataforma detecta una posible fuga de datos, generalmente almacenará una copia de la evidencia para su posterior análisis. En el caso de que no se trate de un falso positivo y se detecte un intento de fuga de datos de tarjeta, estos datos serán almacenados en la base de datos de la plataforma.

Mientras esto supone algo lícito de cara a la mejora de la seguridad de una compañía (siempre y cuando no se almacene información sensible no permitida como el código de verificación de tarjeta no presente (CAV2, CVC2, CVV2, CID), supone la creación de un repositorio de datos que debe ser debidamente protegido.

En cuanto a la generación de nuevos flujos, debe prestarse espacial atención al uso realizado de la información que contiene datos de tarjeta. Esta información no debería abandonar la plataforma DLP a no ser que haya una justificación para ello y se tomen las medidas de protección adecuadas.

Algunas de las medidas a tener en cuenta de cara al cumplimiento de PCI DSS serían las siguientes:

  • Cifrado: los datos de tarjeta almacenados en la base de datos de cuarentena deben ser debidamente protegidos a través de un método de cifrado robusto (generalmente proporcionado por la propia herramienta DLP).
  • Retención de datos: debido a que la base de datos de cuarentena  contendrá datos de tarjeta, se debe establecer un periodo de retención para dichos datos así como un procedimiento trimestral de eliminado de datos que hayan superado este periodo.
    Una consideración importante en este punto, es que la evidencia almacene información sensible como el código de verificación de tarjeta no presente en cuyo caso no podría ser almacenado.
  • Ubicación: la base de datos de cuarentena que contiene datos de tarjeta debe ser ubicada de forma segura en red interna y segmentada de cualquier red con acceso público (DMZ).
    Perfiles de acceso: se deben establecer unas medidas de control de acceso estrictas sobre quien tiene acceso a los datos de tarjeta (teniendo en cuenta base de datos de cuarentena y la propia herramienta DLP).
  • Bastionado: los elementos que componen la plataforma DLP deben ser debidamente bastionados conforme a los requisitos de la norma PCI DSS, en base a los manuales de fabricante y las buenas prácticas de la industria.
  • Alertas: se deben establecer alertas tanto para la detección de fugas de información como de acciones de administradores de la plataforma (en especial aquellos que estén relacionados con la visualización de datos de tarjeta).
    Estos eventos deben ser incluidos dentro del proceso de monitorización de eventos y, por lo tanto, dentro del procedimiento de respuesta a incidentes.
  • Flujo de tareas recurrentes: al igual que cualquier componente de un entorno PCI DSS, la plataforma DLP debería ser incluida dentro de las tareas recurrentes establecidas por la norma: escaneos, test de intrusión, gestión de cambios, gestión de vulnerabilidades, etc.

En resumen, aunque una plataforma DLP puede suponer una importante ayuda para la identificación de flujos de tarjeta no autorizados, también puede suponer un riesgo para el cual se deben establecer los controles adecuados teniendo en cuenta que dicha plataforma estará incluida dentro del ámbito PCI DSS de la compañía.


Autor: Javier Lorrio - CISSP, CISA, CCSA, CCSE
Departamento de Consultoría.

martes, 21 de julio de 2015

PCIP, Hoja de ruta

PCI Security Standards Council (PCI SSC)
La certificación PCIP (Payment Card Industry Professional), del PCI SSC, es una acreditación enfocada a profesionales que trabajan con los diferentes estándares emitidos por dicha entidad.

El objetivo de la certificación, es que el candidato acredite conocimiento en los siguientes aspectos:
  • Principios cubiertos por los estándares PCI DSS, PA-DSS, PCI PTS y P2PE.
  • Requerimientos detallados del estándar PCI DSS (su última versión disponible es la v3.1).
  • Terminología básica de la industria de las tarjetas de pago.
  • Uso apropiado de los controles compensatorios en la implantación del estándar PCI DSS.
  • Cómo y cuándo utilizar los cuestionarios de auto evaluación (SAQ).
  • Nuevas tendencias que pueden afectar el cumplimiento del estándar (P2PE, tokenización, cloud computing, etc).
Iniciada en 2012, esta certificación se ha convertido en una de las más preciadas para los profesionales de la seguridad que tratan con los estándares del PCI SSC, que pueden acreditar con ella un profundo conocimiento de dichas normativas de seguridad.

Aunque esta certificación no permite que los profesionales que la poseen firmen auditorías de cumplimiento de ninguno de estos estándares (para eso están la certificaciones QSA o la PA QSA), la PCIP acredita que su poseedor tiene conocimientos profundos sobre el estándar PCI DSS, según los criterios de calidad del propio PCI SSC.

No obstante, al plantearse la obtención de esta certificación, suelen surgir dudas al candidato sobre los pasos que debe seguir para su obtención, el tiempo de estudio necesario, los materiales necesarios, etc. En este artículo, y como ya hicimos anteriormente con la certificación CISSP,  pretendemos proporcionar respuesta a algunas de estas preguntas, y ofrecer al mismo tiempo a los candidatos información sobre los pasos a seguir para la obtención de la certificación PCIP, basándonos en la experiencia de Internet Security Auditors en la materia.

Así pues, vemos la respuesta a algunas de estas dudas a continuación, con lo cual esperamos que el proceso de obtención de dicha certificación quede más claro a los candidatos de la misma.

¿Cuáles son los requerimientos para obtener esta certificación?
Para poder optar a la certificación PCIP, el candidato debe acreditar en primer lugar un mínimo de dos años de experiencia en un rol relatado con la industria de TI en general (no tiene porqué ser experiencia en seguridad de las TI, tal y como exigen por ejemplo las certificaciones CISSP o CISA, también muy reconocidas en la industria de la ciberseguridad).

Además, el candidato debe aceptar el código de conducta emitido por el PCI SSC para los profesionales PCIP. Dicho código de conducta, puede ser consultado en el Anexo B del siguiente documento:

https://www.pcisecuritystandards.org/documents/pcip_qualification_requirements.pdf

La acreditación de ambos requisitos se realizará en el momento del registro al examen, tal y como se detalla a continuación.

¿Cómo me registro para el examen?
En primer lugar, el candidato debe darse de alta para el examen rellenando el siguiente formulario, disponible en el portal del PCI SSC:

https://programs.pcissc.org/pcipregistration.aspx

En el momento del registro, se da al usuario la capacidad de escoger entre las tres opciones siguientes, en función de sus preferencias:

PCIP Exam Choices

El registro para la realización del examen sin realizar ningún curso adicional cuesta 1390 $ (dólares americanos), mientras que si se opta por la opción de realizar el examen con un curso de elearning añadido, el coste sube a 2245 $.

Se pueden consultar dichos costes actualizados en el siguiente enlace:

https://www.pcisecuritystandards.org/training/pcip_training-schedule-pricing.php

Finalmente, la opción de realizar el examen y un curso presencial impartido por el mismo PCI SCC, varía de precio en función del país donde se realice (siempre fuera de España), y como es obvio, el coste total del paquete es bastante más elevado que en los dos casos anteriores.

Para conocer el calendario actualizado y el coste de los cursos presenciales disponibles, se puede consultar el siguiente enlace:

https://es.pcisecuritystandards.org/training/pcip_training-schedule-pricing.php

Una vez completado el formulario, el Council (PCI SSC) valora tu candidatura, y al cabo de un par de días, te envían al correo electrónico la factura asociada a las tasas en el registro inicial en su portal (más o menos la mitad del importe total de tu elección en el paso anterior).

El candidato debe pagar el importe de la factura (con una transferencia bancaria a la cuenta del PCI SSC incluida en la factura, o a través de un pago con tarjeta de crédito), y al cabo de un par de días, el Council te envía al correo las credenciales de acceso a su portal:

https://programs.pcissc.org/

Una vez autenticado en el mismo, él candidato debe subir al portal cierta información personal (Curriculum Vitae y código de conducta del PCIP firmado). El CV debe garantizar que el candidato dispone de un mínimo de dos años de experiencia en tecnologías de la información (TI), como hemos visto anteriormente.

Una vez que el PCI SSC ha revisado la documentación facilitada por el usuario, y si ésta es correcta, le enviará una nueva factura a su correo electrónico, con el resto del importe necesario para la realización del examen y la formación asociada, en el caso de que se haya seleccionado en el registro inicial.

Una vez se ha pagado la segunda factura, Pearson VUE (entidad encargada de facilitar al candidato un local para la realización del examen PCIP), envía al usuario un correo con las credenciales de acceso a su portal:

http://www.pearsonvue.com/PCI/

Desde el cual se puede observar información sobre la localización más próxima al domicilio habitual del candidato para la realización del examen presencial, y las fechas disponibles para ello. Hay centros VUE repartidos por todo el territorio internacional, siendo Barcelona y Madrid las únicas ciudades del territorio nacional disponibles. Se puede consultar la localización del centro VUE más próximo a una dirección concreta en el siguiente enlace:

https://www6.pearsonvue.com/testtaker/registration/SelectTestCenterProximity/PCI/1367751

Una vez se ha escogido el centro y la fecha adecuada, se puede realizar una reserva para el examen. Hay que tener en cuenta que el examen del PCIP se puede realizar solamente en inglés.


¿Cómo me preparo para el examen?
Aparte de la propia documentación del Council (estándares de seguridad, documentos adicionales, etc.), disponibles de manera pública y gratuita en su portal:

https://www.pcisecuritystandards.org/security_standards/documents.php

El candidato puede realizar un curso de formación, escogiendo entre una de las siguientes opciones:
  • Comprar el elearning oficial del PCI SSC, disponible en el momento de la reserva del examen, como hemos visto anteriormente. Dicha opción, permite al candidato obtener los conocimientos necesarios para la obtención de la certificación de manera autónoma, desde su perfil personal en el portal del Council. No obstante, evidentemente es la opción más “impersonal”, ya que el candidato no tiene a su disposición profesores con amplia experiencia en la materia, que puedan resolver sus dudas y guiarle en el proceso de aprendizaje.
  • Asistir a un curso de formación presencial preparatorio, impartido por el PCI SSC. Dicho curso está disponible en varios países y fechas, pero siempre fuera de España e impartido en Inglés. Tiene una duración de dos días, y tanto el calendario actualizado como el coste asociado a los cursos pueden ser consultadas en el siguiente enlace:

    https://www.pcisecuritystandards.org/training/pcip_training-schedule-pricing.php

  • Asistir a un curso de formación presencial preparatorio para la certificación, impartido en castellano por Internet Security Auditors y diseñado en base a su experiencia en las normas PCI y a los contenidos de conocimientos requeridos para superar esta certificación oficial. Un curso pensado para superar con éxito el examen oficial de certificación PCIP.

    Se puede consultar tanto el calendario como el coste de dichos cursos en el siguiente enlace:

    http://www.isecauditors.com/Curso-preparatorio-Payment-Card-Industry-Professional-PCIP
En cualquiera de las tres opciones comentadas, se proporcionarán al candidato preguntas de prueba, que simulen el formato de preguntas reales que éste va a encontrarse en el momento del examen.

¿Cuánto tiempo de preparación necesito?
Esta es una pregunta de difícil, y desgraciadamente, no hay una respuesta única a la misma.
Lógicamente, el tiempo de preparación dependerá de cada candidato, de su experiencia previa en entornos relacionados con el tratamiento de datos de tarjeta, del tiempo diario del que disponga para el estudio, de su preparación previa, etc. No obstante, y bajo nuestra experiencia personal, el tiempo de preparación recomendado iría de unos dos meses para las personas más experimentadas, hasta un periodo de unos seis meses para personas más noveles en el sector.

¿Cómo realizo el examen?
El examen se realiza por ordenador en un centro autorizado VUE, como se ha comentado anteriormente.

Este examen consta de 60 preguntas tipo test, y tiene una duración de 90 minutos. Las preguntas constan de 4 posibles respuestas, y en caso de fallo, no se descuenta puntuación, con lo que conviene contestar a todas las preguntas del examen. Aunque 60 preguntas puedan parecer pocas, hay que tener en cuenta que solo se dispone de un minuto y medio de media para responder a cada una de ellas, con lo que la agilidad a la hora de su comprensión y respuesta es imprescindible.

Durante los 90 minutos de duración del examen, aunque el candidato puede realizar tantas pausas como considere necesarias, siempre que vaya acompañado de un responsable del centro VUE en ellas. Además, el candidato no podrá manejar dispositivos electrónicos durante el examen (incluidas las pausas del mismo), ni introducir comida o bebida en la sala del examen (a no ser que haya razones médicas justificadas que así lo requieran). Estos centros disponen de cámaras de seguridad que monitorizan las acciones del candidato en todo momento, con lo que si se intenta consultar apuntes, manuales, etc., dicha acción sería identificada al momento, y se invitaría al candidato a abandonar el examen por intento de copia. Además, en ese caso el candidato perdería el derecho a la realización del examen en esa convocatoria.

Una vez que el candidato ha finalizado el examen, éste lo debe indicar al software (es importante estar seguro de que todas las respuestas están correctamente contestadas antes de realizar dicha acción, ya que no hay vuelta atrás), y en unos segundos se le indica al candidato por pantalla si los resultados del examen han sido satisfactorios, o si por el contrario, lo ha suspendido.

El día siguiente, y en caso de que haya aprobado, el candidato recibirá en su correo electrónico el certificado que lo acredita como PCIP. El PCI SSC no emite copia física de dicho certificado.

¿Y si suspendo?
Los candidatos que no aprueben el examen, podrán volver a intentarlo antes de 365 días, siempre que paguen una tasa extra asociada de 395 $.

Si el candidato suspende el examen una segunda vez, perderá la convocatoria inicial, y deberá pagar el importe del examen completo de nuevo para volverlo a intentar. Además, y como penalización, si anteriormente no había realizado el curso de elearning oficial del PCI SSC, se obligará al alumno a contratar y realizar dicho curso en el siguiente registro al examen.

¿Cómo mantengo la certificación?
El certificado tiene una duración efectiva de tres años, tiempo tras el cual, deberá ser renovado.
Para su renovación, se deberán llevar a las siguientes acciones:
  • Superar un examen de recertificación online.
  • Pagar las tasas asociadas a la recertificación (149 $).
  • Reportar un mínimo de 10 CPE (Continuing Professional Education) al año (un total de como mínimo 30 CPE) al PCI SSC, en el momento de renovar la certificación. Cada CPE corresponde a una hora dedicada a la formación o enseñanza de nuevas técnicas o metodologías en seguridad de información, o bien a los documentos o estándares del propio Council.
Para obtener más detalle sobre cómo reportar CPE al PCI SCC, se puede consultar el siguiente enlace:

https://www.pcisecuritystandards.org/documents/PCI_SSC_CPE_Maintenance_Guide.pdf

Conclusiones
Con la lectura de este artículo, el candidato a la certificación PCIP debería tener un mapa de ruta bastante claro sobre el proceso de obtención de la misma, así como ser conocedor de los detalles de cada una de las etapas del proceso.

Los pasos para la obtención de dicha certificación que se han detallado en el artículo son los siguientes:
Si tenéis alguna duda en todo lo comentado, o bien en el proceso de obtención de la certificación, no dudes en dejar un comentario, y os lo contestaremos con la mayor brevedad posible.

Y sobre todo, muchísimo ánimo con la certificación! Recuerda que, como decía Gail Devers:
Cada logro comienza con la decisión de intentarlo

Referencias
https://www.pcisecuritystandards.org/pdfs/PCI_SSC_PCIP_FAQ-print.pdf



Autor: Guillem Fàbregas - CISA, CISM, PCIP, ISO 27001 L.A.
Departamento de Consultoría.