Para todo el que se haya visto involucrado o haya tenido que trabajar con el estándar PCI DSS y, especialmente, aquellos que hayan tenido que “sufrir” su implantación y mantenimiento en cualquier de sus alcances, sabrán que dicho estándar deja bastantes ambigüedades y conceptos de los que no termina del todo de definir con exactitud. Esta posición es entendible si tenemos en mente la gran variedad de tipos de entornos, tecnologías y necesidades de negocio que nos podemos encontrar en la vida real que traten datos de tarjetas de pago.
Para mitigar este hecho, el SSC viene publicando con cada versión del estándar, un documento (
aquí su enlace en su última versión) a modo de glosario, en el cual recopila diversos conceptos, términos, abreviaciones y acrónimos. Uno de estos términos, y sobre el que trata este artículo, es el
Cambio Significativo, con la particularidad de que este concepto no viene recogido ni detallado en el glosario anteriormente mencionado.
Si recopilamos y extraemos del propio estándar todas las menciones que se hacen a cambio significativo, nos encontramos con:
- En el requisito 11.2.3, se hace referencia a este término como “la determinación de qué constituye un cambio significativo depende totalmente de la configuración de cada entorno.”
- En el requisito 12.2, sin embargo, pone el ejemplo de “adquisiciones, fusiones o reubicaciones, etc.” relacionado con los componentes del entorno.
- Por último, en el requisito 11.2 se expone el ejemplo de “la instalación de nuevos componentes del sistema, cambios en la topología de la red, modificaciones en las reglas de firewall, actualizaciones de productos”.
Como se puede observar, es imposible extraer una definición clara y concisa de este término. En cambio, si se puede extraer claramente las implicaciones que conlleva considerar un cambio como “cambio significativo”, y dichas implicaciones suponen en la mayoría de los casos un gran esfuerzo económico y dedicación de personal. Las implicaciones y los requisitos que comúnmente se llegan a aplicar se resumen en:
- Documentar dicho cambio, aplicar todos los requisitos del estándar y actualizar los documentos correspondientes (Req. 6.4.6)
- Análisis de vulnerabilidades externo e interno (Req. 11.2)
- Test de intrusión interno y externo (Req. 11.3)
- Análisis de Riesgos (Req. 12.2)
Partiendo de esta base y si se analiza desde un enfoque práctico, ejemplos de dichos cambios significativos pueden ser:
- Cambios de reglas de firewall/router en accesos públicos
- Cambios sobre los controles de segmentación
- Cambios de infraestructura, nuevos equipos, nuevo software o protocolos
- Cambios sobre la aplicación de pago o servicios
- Nuevos proveedores de servicios o cambio en el servicio de proveedores (intercambio de datos)
Las reglas de firewall son uno de los puntos más críticos, y debe tenerse en cuenta si se están abriendo nuevas interfaces externas o se están poniendo zonas adicionales, o el cambio de reglas implica un cambio de varias reglas de manera simultánea que puedan afectar de algún modo la segmentación. En estos casos es muy probable que se considere como un cambio significativo. Por otro lado, si el cambio es porque a un servidor se le cambió la dirección IP o porque se cambió el puerto por el que se maneja un servicio, en esos casos debe ser estudiando con detalle, para evaluar el riesgo y comprobar si efectivamente estamos ante un cambio significativo o no.
Sobre las nuevas versiones que sean desplegadas de las aplicaciones de pago, típicamente se consideran como cambio significativo, pero su actuación sería parcial, es decir, el análisis de riesgos se debería ejecutar solo en caso de que se activen nuevos servicios, pero el análisis de vulnerabilidades si debería ejecutarse en este caso. Nunca hay que olvidar que todo cambio independiente de si es más o menos crítico debe documentarse, tal y como se especifica en el requisito 6.4.6.
Para finalizar, es necesario enfatizar que la organización tiene la responsabilidad de tratar, a través de los criterios definidos en el documento relativos al procedimiento interno de gestión de cambios, el hecho de clasificar el cambio como significativo o no. Por otro lado, esta acción será objeto de revisión durante una auditoría, en la que un QSA comprobará a través de las evidencias correspondientes, que se han aplicado los criterios correctos acorde al estándar.
Autor: Alberto Villar - CISSP, PCI QSA
Dpto. de Consultoría