Para todo el que se haya visto involucrado o haya tenido que trabajar con el estándar PCI DSS y, especialmente, aquellos que hayan tenido que “sufrir” su implantación y mantenimiento en cualquier de sus alcances, sabrán que dicho estándar deja bastantes ambigüedades y conceptos de los que no termina del todo de definir con exactitud. Esta posición es entendible si tenemos en mente la gran variedad de tipos de entornos, tecnologías y necesidades de negocio que nos podemos encontrar en la vida real que traten datos de tarjetas de pago.
Para mitigar este hecho, el SSC viene publicando con cada versión del estándar, un documento ( aquí su enlace en su última versión) a modo de glosario, en el cual recopila diversos conceptos, términos, abreviaciones y acrónimos. Uno de estos términos, y sobre el que trata este artículo, es el Cambio Significativo, con la particularidad de que este concepto no viene recogido ni detallado en el glosario anteriormente mencionado.
Si recopilamos y extraemos del propio estándar todas las menciones que se hacen a cambio significativo, nos encontramos con:
Sobre las nuevas versiones que sean desplegadas de las aplicaciones de pago, típicamente se consideran como cambio significativo, pero su actuación sería parcial, es decir, el análisis de riesgos se debería ejecutar solo en caso de que se activen nuevos servicios, pero el análisis de vulnerabilidades si debería ejecutarse en este caso. Nunca hay que olvidar que todo cambio independiente de si es más o menos crítico debe documentarse, tal y como se especifica en el requisito 6.4.6.
Para finalizar, es necesario enfatizar que la organización tiene la responsabilidad de tratar, a través de los criterios definidos en el documento relativos al procedimiento interno de gestión de cambios, el hecho de clasificar el cambio como significativo o no. Por otro lado, esta acción será objeto de revisión durante una auditoría, en la que un QSA comprobará a través de las evidencias correspondientes, que se han aplicado los criterios correctos acorde al estándar.
Autor: Alberto Villar - CISSP, PCI QSA
Para mitigar este hecho, el SSC viene publicando con cada versión del estándar, un documento ( aquí su enlace en su última versión) a modo de glosario, en el cual recopila diversos conceptos, términos, abreviaciones y acrónimos. Uno de estos términos, y sobre el que trata este artículo, es el Cambio Significativo, con la particularidad de que este concepto no viene recogido ni detallado en el glosario anteriormente mencionado.
Si recopilamos y extraemos del propio estándar todas las menciones que se hacen a cambio significativo, nos encontramos con:
- En el requisito 11.2.3, se hace referencia a este término como “la determinación de qué constituye un cambio significativo depende totalmente de la configuración de cada entorno.”
- En el requisito 12.2, sin embargo, pone el ejemplo de “adquisiciones, fusiones o reubicaciones, etc.” relacionado con los componentes del entorno.
- Por último, en el requisito 11.2 se expone el ejemplo de “la instalación de nuevos componentes del sistema, cambios en la topología de la red, modificaciones en las reglas de firewall, actualizaciones de productos”.
- Documentar dicho cambio, aplicar todos los requisitos del estándar y actualizar los documentos correspondientes (Req. 6.4.6)
- Análisis de vulnerabilidades externo e interno (Req. 11.2)
- Test de intrusión interno y externo (Req. 11.3)
- Análisis de Riesgos (Req. 12.2)
- Cambios de reglas de firewall/router en accesos públicos
- Cambios sobre los controles de segmentación
- Cambios de infraestructura, nuevos equipos, nuevo software o protocolos
- Cambios sobre la aplicación de pago o servicios
- Nuevos proveedores de servicios o cambio en el servicio de proveedores (intercambio de datos)
Sobre las nuevas versiones que sean desplegadas de las aplicaciones de pago, típicamente se consideran como cambio significativo, pero su actuación sería parcial, es decir, el análisis de riesgos se debería ejecutar solo en caso de que se activen nuevos servicios, pero el análisis de vulnerabilidades si debería ejecutarse en este caso. Nunca hay que olvidar que todo cambio independiente de si es más o menos crítico debe documentarse, tal y como se especifica en el requisito 6.4.6.
Para finalizar, es necesario enfatizar que la organización tiene la responsabilidad de tratar, a través de los criterios definidos en el documento relativos al procedimiento interno de gestión de cambios, el hecho de clasificar el cambio como significativo o no. Por otro lado, esta acción será objeto de revisión durante una auditoría, en la que un QSA comprobará a través de las evidencias correspondientes, que se han aplicado los criterios correctos acorde al estándar.
Autor: Alberto Villar - CISSP, PCI QSA
Dpto. de Consultoría