Breve introducción al estándar PCI 3D-Secure (PCI 3DS)



Introducción
En octubre de 2017, el PCI SSC anunció el PCI 3D-Secure (PCI 3DS), un nuevo estándar de seguridad aplicable en entornos de pago no presencial, dónde se utiliza 3D-Secure, un protocolo que mejora la seguridad en la autenticación de los clientes en las compras online. Dicho protocolo permite a los consumidores autenticarse a través de un valor de un solo uso (one-time password), como puede ser número contenido en una tarjeta de coordenadas, un token criptográfico, una contraseña, un código enviado vía SMS/correo electrónico, etc. Dicho valor debe ser introducido por el cliente en el sitio web del banco emisor, lo cual puede requerir la redirección del browser del usuario (vía iFrame, por ejemplo) desde el sitio web del comercio en el cual se realiza la transacción. Este paso se realiza para garantizar que el comercio no tendrá acceso en ningún momento a este valor de autenticación, optimizando los niveles de protección contra el fraude.

En este artículo revisaremos las características más destacadas de este nuevo estándar de seguridad.

Entorno de aplicación
El estándar PCI 3DS debe ser aplicado por parte de las entidades que realizan o proporcionan alguna de las siguientes funciones en los procesos de autenticación 3DS:
  • Servidor de control de acceso 3DS (ACS): Servidor que contiene las reglas de autenticación (reglas que identifican/autentican a los usuarios en sus accesos al entorno), y que es controlado por la entidad emisora. Dicho servidor comprueba si la autenticación es válida utilizando la tarjeta y el equipo de acceso utilizados por el usuario, y en dicho caso, autentica al usuario en las transacciones bancarias relacionadas.
  • Servidor Directorio Activo 3DS (DS): Servidor que mantiene listados de los rangos de números de tarjeta aplicables, y coordina las comunicaciones entre el 3DSS, que en el siguiente párrafo se explica, y el ACS, para determinar si la autenticación 3D-Secure está disponible para una tarjeta concreta y un dispositivo de acceso concreto.
  • Servidor 3DS (3DSS): Proporciona la interfaz funcional entre el entorno de solicitud de la autenticación 3DS y el DS
Además, dicho estándar aplica también a todos los elementos que proporcionen funcionalidades adicionales a los comentados, como elementos de red, dispositivos de seguridad, aplicaciones, otros elementos secundarios conectados al entorno de cumplimiento, etc.

Requerimientos de seguridad
Los requerimientos de seguridad del estándar PCI 3DS están divididos en dos grupos:
  • Parte 1. Requerimientos de seguridad base: Requerimientos técnicos y procedimentales básicos de seguridad para proteger el entorno 3DS.
  • Parte 2. Requerimientos de seguridad 3DS: Requerimientos de seguridad para la protección de los datos y procesos 3DS.
A continuación, procedemos a comentar los requerimientos más destacados:

Parte 1. Requerimientos de seguridad base:
  1. Mantenimiento de políticas de seguridad para el personal:
    • La entidad debe generar y mantener actualizada una política de seguridad, que tenga en cuenta el tratamiento de los riesgos identificados. El personal debe leer y aceptar dichas políticas en su incorporación y como mínimo de manera anual.
    • Anualmente o ante cambios significativos, se deberán realizar análisis de riesgos sobre el entorno.
    • Deben realizarse formaciones de seguridad para el personal de manera periódica (periodicidad definida según la criticidad de cada usuario en el entorno), que cubran todos los aspectos contenidos en las políticas de seguridad y que deban ser tenidos en cuenta por los empleados.
    • Antes de la de la incorporación del personal en los procesos del entorno de cumplimiento PCI 3DS, deberán realizarse comprobaciones de antecedentes.
  2. Conectividad segura de red:
    • Debe restringirse el tráfico de entrada/salida del entorno PCI 3DS al mínimo imprescindible. Los sistemas del entorno deben segmentarse de manera adecuada de las redes externas, y deben generarse y mantenerse actualizados diagramas de red del entorno, dónde también se incluyan los flujos de datos.
    • Se debe monitorizar el tráfico del entorno, así como establecer procedimientos de respuesta y actuación en caso de que se detecte algún posible ataque de red.
  3. Desarrollo y mantenimiento de sistemas y aplicaciones:
    • En base a las mejores prácticas existentes en la industria se deben definir los procedimientos de desarrollo seguro de aplicaciones. Dichas prácticas de desarrollo seguro deben incluir técnicas para proteger las aplicaciones ante las vulnerabilidades típicas existentes.
    • Los programadores deben recibir formaciones de desarrollo seguro orientadas al lenguaje de programación que utilicen en el desarrollo de las aplicaciones del entorno PCI 3DS.
    • Deben mantenerse inventarios actualizados de todas las tecnologías implicadas en el entorno PCI 3DS, además de definirse (y aplicarse) guías de bastionado o configuración segura para todos los dispositivos implicados en dicho entorno.
    • Se deberán definir procedimientos de gestión de cambios en el entorno, los cuales incluyan revisiones de seguridad, procedimientos de autorización y aprobación de cambios, así como procedimientos de testeo, para verificar que la introducción de los cambios no supone una disminución de la seguridad del entorno.
  4. Gestión de vulnerabilidades:
    • Deben instalarse herramientas antimalware actualizadas en los sistemas y equipos involucrados en el entorno de cumplimiento PCI 3DS, para prevenir posibles ataques de malware, y para responder a ellos en caso de se lleven a cabo.
    • Deben llevarse a cabo escaneos trimestrales internos y externos en el entorno de cumplimiento. Los escaneos externos deben ser realizados por parte de una entidad homologada por el PCI SSC como PCI ASV.
    • Con periodicidad anual se deben llevar a cabo pruebas de penetración, así como definirse estrategias para solucionar las vulnerabilidades críticas identificadas en el plazo máximo de un mes.
  5. Gestión de accesos:
    • Los accesos al entorno de cumplimiento PCI 3DS deben requerir siempre una autenticación por parte de los usuarios, y deben asignarse siguiendo la regla de Need-to-know, en la que los empleados tengan solo los accesos mínimos imprescindibles para su trabajo diario. Además, deben establecerse procedimiento de autorización antes de asignar el acceso de un usuario al entorno de cumplimiento.
    • Deben asignarse ID’s únicas a todos los usuarios con acceso lógico al entorno de cumplimiento, evitándose así el uso de usuarios genéricos o compartidos.
  6. Seguridad física:
    • Deben establecerse procedimientos para garantizar la seguridad física de las instalaciones, sistemas y medios físicos que formen parte del entorno de cumplimiento, aunque el estándar no especifica las medidas de seguridad mínimas que deben ser aplicadas, si no que dependerá de cada entidad las medidas que considere oportunas para conseguir dicha protección óptima.
    • Deben implementarse procedimientos para gestionar de manera adecuada las visitas que se realicen al entorno de cumplimiento del estándar PCI 3DS.
  7. Preparación de respuesta a incidentes:
    • Deben establecerse procedimientos de actuación y respuesta en caso de identificación de incidentes de seguridad, que garanticen una respuesta adecuada por parte de todas las partes implicadas en dichos casos.
    • Además, deben almacenarse durante un año logs o registros de auditoría en las acciones llevadas a cabo por los usuarios en aplicativos y sistemas del entorno PCI 3DS.
Parte 2: Requerimientos de seguridad 3DS:
  1. Validación de entorno de cumplimiento:
    • Es necesario identificar y documentar los límites del entorno de cumplimiento PCI 3DS, especificando las medidas de segmentación necesarias para su separación de otras redes externas. Además, deben identificarse todas las redes y/o entidades conectadas a dicho entorno.
  2. Gobierno de seguridad:
    • Para asegurar que cada empleado es responsable de llevar a cabo las actividades periódicas, se deberán definir de manera clara los roles y responsabilidades en materia de seguridad de la información y gobierno corporativo de la entidad.
    • Además, deben definirse estrategias de gestión de riesgos para mitigar los riesgos identificados en el análisis anual realizado en el entorno de cumplimiento.
    • Deben establecerse procedimientos de gestión de proveedores o terceras partes adecuados, de manera que se identifique con antelación los requisitos de seguridad que es necesario solicitar a los mismos. Además, deben mantenerse acuerdos escritos con dichos proveedores, de manera que queden claras las responsabilidades de cada actor en los procedimientos de seguridad implementados en el entorno de cumplimiento PCI 3DS.
  3. Protección de sistemas y aplicaciones:
    • Se deben proteger los programas/aplicaciones del entorno de cumplimiento ante modificaciones no autorizadas.
    • Para verificar que se encuentran securizadas ante posibles ataques, se deben proteger y probar las API’s de acceso al entorno de cumplimiento.
    • Deben cifrarse todos los canales de comunicación web con protocolos HTTPS, estando prohibido el uso de HTTP para dicho uso.
    • También deben protegerse las interfaces de acceso público de la web ante los ataques más comunes existentes, como son ataques XSS, inyecciones de código o ataques CSRF.
  4. Protección de accesos lógicos:
    • Los accesos del entorno habilitados a los comercios deben restringirse con métodos de autenticación de doble factor, y debe revisarse la asignación de dichos accesos como mínimo de manera trimestral, para verificar que siguen siendo necesarios.
  5. Protección de datos:
    • Deben establecerse periodos de retención de datos en la entidad, que aseguren que la información sensible no será almacenada más tiempo del necesario.
    • Debe implementarse criptografía en todos los envíos de datos en el entorno de cumplimiento PCI 3DS, utilizando por ejemplo versiones actualizadas del protocolo TLS.
    • También debe implementarse criptografía robusta en todos los almacenamientos de datos sensibles del entorno.
  6. Criptografía y gestión de claves:
    • Deben implementarse unos adecuados procedimientos de generación y mantenimiento de claves de cifrado, que aseguren la seguridad de éstas en todo su ciclo de vida.
    • Todas las claves criptográficas utilizadas en la solución deben ser generadas en dispositivos HSM homologados o bien como FIPS 140-2 level3 o como PCI PTS HSM.
  7. Seguridad física:
    • El entorno físico que contenga datos sensibles de autenticación 3DS debe ser protegido mediante medidas de seguridad robustas, como son los controles de acceso electrónicos, las cabinas de acceso (mantrap doors), las barreras o tornos de acceso giratorios o los circuitos de cámaras de videovigilancia.


Autor: Guillem Fàbregas Margenats
CISSP, CISSP Instructor, CISA, CISM, CRISC, PCI QSA, PCIP, ISO 27001 L.A.
Dpto. Consultoría Barcelona

No hay comentarios:

Publicar un comentario