Impacto de la COVID-19 en el estándar PCI DSS (I)

La inmersión, sin precedentes en nuestra sociedad, del coronavirus, convertido en Pandemia Mundial, ha hecho que todos reconsideremos y revisemos la forma en la cual se estaban llevando a cabo los negocios y la forma en que vivimos en general. Esto ha desembocado en la obligación de modificar sustancialmente el entorno de trabajo y los procesos que, con fuerte arraigo, las empresas tenían establecidos.

Esta situación presenta una serie completamente nueva de desafíos para los equipos de cada organización en materia de cumplimiento, tecnología y seguridad de la información, ya que estos empleados ahora operan en un entorno potencialmente menos seguro y definitivamente menos privado.

Los entornos que deben cumplir con el estándar PCI DSS, no son ajenos a estos cambios y, una de las principales implicaciones de esto, es que estas organizaciones que manejan datos de tarjetas de crédito / débito deben seguir cumpliendo con este estándar de Seguridad, con los problemas que se pueden presentar para el cumplimiento de algunos de los requisitos. Para los comercios y sus bancos adquirientes asociados, no mantener el cumplimiento puede ser catastrófico, lo que puede resultar en multas importantes o pérdida de la capacidad de procesar transacciones con tarjeta, en definitiva, una sentencia de muerte comercial.

Por ello, el PCI SSC está desarrollando una serie de actividades a nivel interno y con sus asociados para prevenir la propagación y velar por la seguridad de todo el personal involucrado en la seguridad de las transacciones de pago con tarjetas.

En este nuevo paradigma, en el que la mayoría de la fuerza laboral trabaja de forma remota, y las empresas y los consumidores realizan compras en línea en lugar de en una tienda física, aumenta la oportunidad para los ciberdelincuentes que buscan realizar ataques de phishing, estafar y robar dinero o datos.

Este tema lo vamos a tratar en una serie de 3 artículos:

1. En el primer artículo, analizaremos el impacto general de la Covid-19 en los entornos PCI DSS, los cambios esperados tras la pandemia y los riesgos surgidos a raíz del crecimiento del teletrabajo a nivel mundial.
2. En el segundo, analizaremos las medidas se seguridad que podemos implementar para la protección de los datos del titular de la tarjeta relacionadas con las personas, procesos y tecnologías.
3. Y por último, en el artículo que cierra esta serie, nos enfocaremos en el papel de los QSAs con respecto a los cambios que ha propiciado la pandemia con respecto a las evaluaciones de los entornos PCI DSS.

Cambios esperados

Los cambios que se esperan y que ya estamos sufriendo hoy en día son:

• Teletrabajo:
  Actualmente es habitual que las organizaciones se enfrenten a la necesidad de que sus empleados puedan acceder de manera remota a la información y recursos almacenados en sus redes corporativas, bien sea para facilitar la operativa diaria desde dispositivos portátiles, como para hacer frente a los imprevistos que impidan el acceso habitual desde la propia sede de la organización. En relación con esto último, las organizaciones y las personas se han visto obligadas a adoptar nuevas prácticas como el distanciamiento social y el trabajo remoto obligatorio debido a la pandemia de la Covid-19.
  
  Sin embargo, la gestión incorrecta del teletrabajo puede suponer nuevos riesgos para la seguridad de los activos, ya que permitir el acceso remoto a la información no solo la expone a los empleados autorizados, sino también a potenciales atacantes. Por este motivo, es necesario tener en cuenta una serie de consideraciones que hagan que la organización esté preparada y que abordaremos a lo largo del artículo.
  
  Este modelo de trabajo a distancia ha propiciado el cierre de muchos establecimientos físicos dando cabida a la digitalización de los negocios tradicionales, lo que se ha traducido en un aumento del uso de tarjetas de crédito o débito para la realización de los pagos. Debido a esto, las organizaciones y los comercios deben seguir cumpliendo con los requisitos del estándar PCI DSS para evitar violaciones de datos y garantizar la máxima seguridad.

• Evaluaciones remotas:
  Antes de la pandemia, parte del cumplimiento de los requisitos del estándar PCI DSS involucraba la evaluación en el sitio, en las propias localizaciones de las entidades evaluadas. Sin embargo, dada la situación actual, esto ahora en determinadas ocasiones puede no ser posible o práctico llevarlo a cabo. Por lo tanto, el PCI SSC ha generado una serie de directrices para adecuarse a esta nueva normalidad y se espera que los QSAs sean capaces de realizar una evaluación remota para garantizar la validación adecuada de todos los requisitos y completar los informes de cumplimiento.

• Migración a Cloud:
  La subcontratación de las funciones de seguridad y procesamiento de datos de tarjeta a un proveedor de servicios cloud certificado bajo PCI DSS, no exime a un comercio de su responsabilidad de asegurar que los datos de tarjeta sean protegidos, independientemente del lugar en que se encuentren los datos, pero si les pude hacer la vida algo más fácil debido a que muchos de estos proveedores y atendiendo al modelo cloud contratado (IaaS, PaaS o SaaS, entre otros muchos que existen en la actualidad), asumen gran parte de las responsabilidad de los requisitos PCI DSS a cumplir, lo que libera a la organización de gran parte de la carga de tener que cumplir con dichos requisitos. Además, de aprovecharse de todas las ventajas en cuanto a movilidad que ofrece este tipo de tecnología y que coge más fuerza aún en esta época nueva que se ha abierto tras la COVID-19 con el teletrabajo como nuevo modelo de negocio.
  
  Es por esto, que muchas de las empresas han migrado ya o están migrando a soluciones cloud PCI DSS compliance como medida paliativa frente a la Covid-19 para seguir manteniendo la seguridad de sus datos de tarjeta y, promover y facilitar la movilidad de sus empleados.

• Necesidad de QSAs:
  Por último, se espera que las empresas de asesores QSAs consideren contratar recursos de asesores locales calificados para obtener asistencia, siempre que no sea posible la vía de realizar una evaluación remota. Esto incluiría el uso de subcontratistas aprobados para realizar aspectos de evaluación in situ según los requisitos del programa Qualified Security Assessor (QSA).
  
  Esto se traduce, como veremos en siguientes artículos de esta serie, en que puede existir un QSA principal no localizado en la misma ciudad que la entidad evaluada y sea necesario en algunos aspectos del estándar y dada una casuística concreta realizar una evaluación in situ, por lo que sería necesario la subcontratación o contratación de un QSA local que pudiera llevar a cabo estas tareas in situ en la entidad evaluada. 

Teletrabajo en entornos PCI DSS

Riesgos generales del teletrabajo

• Falta de políticas de teletrabajo y conocimiento de éstas por parte de los empleados:
• En primer lugar, y que es transversal a todos los demás, es la falta de políticas de teletrabajo y conocimiento de éstas por parte de los empleados o todas las partes afectadas. Las organizaciones deben considerar proporcionarle al empleado unas políticas y un soporte técnico adecuado para que pueda desarrollar su trabajo sin problemas y de forma segura. En este sentido, la empresa deberá prestar mucha más atención a la forma en la que sus empleados se conectan a las redes corporativas y públicas para manipular la información, en detrimento de la preocupación que antes se tenía por la infraestructura física. La adopción de metodologías de teletrabajo implica un cambio en la forma de gestionar la seguridad de la información en una amplia variedad de dispositivos, aplicaciones y sistemas operativos.
  
  Tanto el empleado como la empresa deben saber claramente qué pueden hacer y cómo deben hacerlo; y esto se consigue a través del establecimiento de políticas de seguridad bien diseñadas y asegurando que todos y cada uno de los empleados afectados las conocen, las entienden y las aplican. Si esto no está claro, se convierte en un eslabón débil de la cadena de seguridad.

• Falta de controles de seguridad física:
• En ciertas ocasiones los dispositivos destinados al teletrabajo se utilizan en lugares fuera de la organización como por ejemplo en hoteles, cafeterías, en salas de conferencias, etc. Esta condición aumenta el riesgo de que los dispositivos se pierdan o sean robados, lo que lo convierte a su vez en una posible pérdida de datos corporativos si no están convenientemente protegidos, por ejemplo, mediante cifrado robusto. Es muy importante tener en cuenta este tipo de situación a la hora de aplicar las medidas de seguridad necesarias para este tipo de dispositivos y proteger la información de accesos no deseados.
• Errores de configuración:
• Para asegurar una configuración óptima en nuestros equipos es aconsejable que únicamente el personal técnico indicado pueda instalar, actualizar y eliminar software y que no sea el usuario que maneja el dispositivo el que tenga los permisos para cambiar cualquier configuración en materia de seguridad.
• Redes no seguras:
• Las organizaciones no tienen control sobre las redes que usan sus empleados para teletrabajar. Es una práctica habitual utilizar redes abiertas e inseguras (aeropuertos, cafeterías, etc.) que un ciberdelincuente podría aprovechar para acceder a la información que contiene el dispositivo utilizado para el trabajo en remoto.
• Dispositivos infectados en redes corporativas:
• La inclusión del BYOD (Bring Your Own Device) en el ámbito empresarial ha sumado factores de riesgo, como el uso de dispositivos que están infectados con algún tipo de malware a consecuencia del uso personal. El problema surge cuando una vez infectados se conectan a la red de la empresa, pudiendo propagar el malware a otros dispositivos.
• Acceso remoto a los recursos internos:
• Permitir el acceso externo a los recursos corporativos implica su exposición a nuevas amenazas, aumentando la posibilidad de que estos se vean comprometidos. Por este motivo, es necesario otorgar acceso a estos recursos solo a los empleados que lo necesiten para el desempeño de su trabajo, es decir, basados en políticas de Need To Know.
• Falta de formación:
• Es habitual que la falta de formación o de conocimiento de las políticas de seguridad de la empresa por parte de los empleados pongan en riesgo la seguridad de la información.

En definitiva, se deberá llevar a cabo una gestión de riesgos que debe enfocarse en implementar los controles adecuados para seguir cumpliendo con PCI DSS, corregir las vulnerabilidades, evitar la ocurrencia de un incidente de seguridad y hacer frente a las amenazas.

No hacer esto puede desembocar, en una pérdida de da datos de tarjeta y demás información sensible y tener que hacer frente a multas, investigaciones, pérdida de confianza y de valor de marca que, en definitiva, es bastante complicado de recuperar.

En el siguiente artículo de la serie explicamos con detalle las medidas de seguridad a implementar para mitigar los riesgos anteriores y hablaremos también de cómo llevar a cabo las evaluaciones remotas en entornos PCI DSS.

Referencias

• PCI DSS v3.2.1:
  https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf?agreement=true&time=1601995865583
• Blog PCI SSC:
  https://www.pcisecuritystandards.org/covid19

---

Autor: Sergio Moreno - PCI QSA, PCI QPA, PCIP, CCNA, CISSP, CDPSE, SFPC, CSFPC, ISO 27001 L.A.
Dpto. Consultoría