Recientemente, el PCI SSC ha publicado unas “píldoras” formativas, llamadas “Payment data security essentials”, para ayudar a los pequeños comercios online a cumplir con los requerimientos del estándar de seguridad PCI DSS. Dichas píldoras, indican recomendaciones o buenas prácticas de seguridad a cumplir, con los requerimientos que dicta dicho estándar. Además, van acompañadas de material adicional que complementa dichas formaciones, como son guías y videos adicionales explicativos.
En la fecha de elaboración de este artículo, el PCI SSC ha puesto a disposición del público las siguientes píldoras formativas:
- Consejos para establecer contraseñas robustas
- Consejos para securizar los accesos remotos
- Consejos para la instalación de parches de seguridad
Contraseñas robustas
- Deben generarse contraseñas aleatorias difíciles de deducir por parte de un posible atacante externo en todos los accesos lógicos al entorno de cumplimiento, que contengan al menos caracteres alfabéticos, caracteres especiales y dígitos numéricos. Además, dichas contraseñas no deben ser formadas por palabras comunes, que un atacante podría deducir con un ataque de diccionario.
- Tanto el ID de los usuarios como las contraseñas de acceso al entorno PCI DSS deben ser únicas e intransferibles, y nunca deben compartirse con otras personas o terceras partes. Deben evitarse también las cuentas/contraseñas compartidas entre varios miembros de un mismo departamento en todos los accesos al entorno, ya san accesos administrativos o accesos a nivel de negocio.
- Las contraseñas deben ser cambiadas como máximo cada 3 meses (90 días), o antes, si se tienen indicios de que éstas han podido ser comprometidas por parte de un atacante.
- El primer consejo para disminuir el riesgo de recibir un ataque remoto en un comercio es el de minimizar los canales o vías de entrada remotas al entorno. Por lo tanto, será necesario partir de un principio de Need-to-have, en el que solo se deberán habilitar los accesos remotos de los empleados o terceras partes que lo necesiten para el desarrollo de sus tareas diarias.
Además, deberá revisarse de manera periódica que los accesos remotos habilitados en su día por una necesidad concreta siguen siendo necesarios, de manera que se verifique que la justificación que se dio en su día para la tramitación de dichos accesos sigue siendo vigente. En caso de que se identifique en una de estas revisiones que alguno de estos accesos ha dejado de ser necesario, dicho acceso deberá darse de baja con la mayor celeridad posible. - Deben habilitarse credenciales únicas de autenticación en todos los accesos remotos al entorno PCI DSS, tanto los realizados por personal interno como los realizados por terceras partes. Esto incluye tanto ID’s de usuarios como contraseñas de acceso.
- Por último, hay que tener en cuenta que todos los accesos remotos al entorno PCI DSS deberán realizarse mediante una autenticación de múltiple factor, en la que, típicamente, el usuario se autentique con una contraseña y un factor externo asociado a un dispositivo individual poseído por el usuario, como por ejemplo una tarjeta de coordenadas, un token criptográfico o un SMS recibido en su teléfono móvil, entre otros.
- El aspecto más importante a considerar por parte de los comercios para implementar una política correcta de gestión de parches de seguridad en la entidad es la necesidad de identificar las responsabilidades de los proveedores de mantenimiento de tecnologías/aplicaciones en este aspecto, de manera que quede claramente definido quien es el responsable de dicha instalación de parches. Es importante no olvidar los entornos de hosting web en ecommerce, que también deben estar sujetos a una correcta política de gestión de parches por parte de las compañías que hospedan dichas webs.
En caso de duda sobre las preguntas concretas que deben realizarse a nuestros proveedores de servicio para identificar sus responsabilidades en estos y otros aspectos de seguridad, puede seguirse el cuestionario de evaluación para comercios emitido por el PCI SSC para este fin. - Una vez claras las responsabilidades en este sentido, es necesario que los parches críticos de seguridad se instalen en un plazo máximo de un mes des de su emisión. Para otros parches no tan críticos, deberá evaluarse el riesgo tanto por parte de los administradores del entorno como por parte de los responsables de la entidad, para definir la fecha óptima de instalación de los mismos.
Autor: Guillem Fàbregas Margenats
CISSP, CISSP Instructor, CISA, CISM, CRISC, PCI QSA, PCIP, ISO 27001 L.A.
Dpto. Consultoría Barcelona
CISSP, CISSP Instructor, CISA, CISM, CRISC, PCI QSA, PCIP, ISO 27001 L.A.
Dpto. Consultoría Barcelona
