viernes, 26 de noviembre de 2021

Análisis de la Actualización de PCI SSF v1.0 a v1.1

Desde el pasado febrero de 2021 (ya publicamos en marzo un artículo al respecto https://blog.isecauditors.com/2021/03/analisis-cambios-version-pci-sslcs.html) el PCI SSC publicó en el repositorio de su página web (https://www.pcisecuritystandards.org/document_library) la actualización de varios documentos a sus versiones 1.1, siendo la más reciente de septiembre de 2021:

  • Estándares
    • Estándar PCI de Software Seguro v1.1
    • Estándar PCI del Ciclo de Vida del Software Seguro v1.1
    • Resumen de cambios del estándar PCI SSS v1.0 a v1.1
    • Resumen de cambios del estándar PCI SSLCS v1.0 a v1.1
  • Documentos de soporte
    • Requisitos de calificación para asesores SSF v1.1
    • Guía del programa de software seguro v1.1
    • Guía del programa de SLC seguro v1.1
    • Glosario de términos, abreviaturas y acrónimos de SSF v1.1
  • Formularios y plantillas de informes
    • Plantilla de informe de validación de software seguro (ROV) v1.1
    • Atestado de validación de software seguro (AOV) v1.1
    • Plantilla de informe de cumplimiento (ROC) de SLC seguro v1.1
    • Atestado de cumplimiento de SLC seguro (AOC) v1.1
  • Preguntas frecuentes
    • Preguntas frecuentes sobre SSF v1.1
  • Guías Generales
    • Transición de PA-DSS al marco de seguridad del software de PCI v1.1


Dichos documentos pertenecen al Marco de Software Seguro (PCI SSF - PCI Software Security Framework). El estándar PCI del Ciclo de Vida del Software Seguro (PCI SSLCS) junto con el PCI de Software Seguro (PCI SSS) forman parte del marco de software seguro PCI (SSF). Estos estándares proporcionan tanto controles de seguridad para facilitar transacciones de pago confiables y precisas, con el objetivo de proteger la integridad de las transacciones de pago y la confidencialidad de todos los datos confidenciales almacenados, procesados o transmitido en asociación con transacciones de pago, así como requisitos de seguridad y procedimientos de evaluación para que los fabricantes de software se integren en sus ciclos de vida de desarrollo de software y validen que existen prácticas seguras de gestión del ciclo de vida.

Antes de esta publicación del PCI SSF, cualquier software que tratara datos de tarjeta, era susceptible únicamente de ser certificable bien por PA-DSS en caso de ser elegible o bien por los requisitos aplicables (principalmente el requisito 6) a un entorno de cumplimiento de PCI DSS.

¿En qué consiste esta actualización de la v1.0 a la v1.1?

En esta primera actualización realizada en febrero de 2021 de los documentos mencionados relativa al programa PCI SSLC, el PCI SSC tiene como intención ampliar la elegibilidad más allá de los fabricantes de software de pago. La elegibilidad revisada incluye fabricantes de software que desarrollan productos de software para la industria de tarjetas de pago. Esta expansión del programa permite que más fabricantes aprovechen la calificación de "PCI Secure SLC" y facilita la adopción y participación más amplia de proveedores en el Programa PCI Secure SLC.

El estándar PCI Secure SLC v1.1 también aborda las erratas, agrega aclaraciones menores y alinea los términos y definiciones clave en la documentación del programa y del estándar.

Posteriormente a las actualizaciones de febrero 2021, se produjeron otras actualizaciones en abril, agosto y septiembre de 2021 afectando a varios documentos listados en el anterior apartado de este artículo.

En lo que respecta al estándar PCI de Software Seguro, al pasar a la v1.1 se ha introducido un nuevo módulo llamado "Software del Terminal", que incluye requisitos de seguridad para software de pago diseñado para su implementación y operación en dispositivos de Punto de Interacción (POI) de Seguridad de Transacción PIN (PTS) aprobados por PCI. El software destinado a la implementación y operación en otras plataformas no se ve afectado por los nuevos requisitos. Es por ello, que en el propio documento Guía del programa de software seguro v1.1 se ha añadido un nuevo punto a la lista de software elegible para añadir lo siguiente: "Software de pago diseñado para su uso en dispositivos PTS POI aprobados por PCI".

El nuevo módulo de Software del Terminal es el tercer módulo que se incorpora a la arquitectura de requisitos modulares del estándar PCI de Software Seguro. Los módulos son grupos de requisitos que abordan casos de uso específicos. Los dos módulos existentes en PCI SSS son el módulo "Core", que incluye los requisitos generales de seguridad aplicables a todo el software de pago, y el módulo "Account Data Protection", que incluye requisitos de seguridad adicionales para el software de pago que almacena, procesa o transmite datos de tarjeta en texto claro. El PCI SSC espera introducir módulos adicionales en el futuro.

El resumen de los cambios realizados se especifica en el apartado Resumen de los cambios afectados al final del artículo.

¿Cómo afecta a los fabricantes de software de pago?

Los fabricantes deben descargar la documentación del programa actual y hacer referencia a la versión 1.1 de la Guía del Programa cuando trabajen con la versión 1.1 del estándar. Esto es de aplicabilidad tras la publicación por parte del PCI SSC de los documentos.

Resumen de los cambios afectados

A continuación se resumen los cambios realizados en los procedimientos de evaluación y requisitos del estándar se software seguro (PCI SSS) y del estándar del ciclo de vida del software seguro (PCI SSLCS) de la v1.0 a la v1.1. La Tabla 1 proporciona una descripción general de los tipos de cambios. Las Tablas 2 y 3 resumen los cambios materiales encontrados en la v1.1 de dichos estándares.

Tipo de Cambio Definición
Aclaración Aclara la intención del requisito. Asegura que la redacción concisa en el estándar refleje la intención deseada de los requisitos.
Guía adicional Explicación, definición y/o instrucción para aumentar la comprensión o proporcionar más información u orientación sobre un tema en particular.
Requisito evolucionado Cambios para garantizar que los estándares estén actualizados con las amenazas emergentes y los cambios en el mercado.
Tabla 1: Tipos de cambio


Sección PCI SSS Cambio Tipo
v1.0 v1.1
Varios Varios Actualizaciones menores para abordar las erratas, aclarar la intención y respaldar la adición del Módulo de Software del Terminal. Aclaración
Varios Varios Se agregó aclaración en todo el documento para diferenciar a los fabricantes de software de otros tipos de fabricantes. Aclaración
Varios Varios Se agregaron hipervínculos a todas las referencias internas a otras secciones, objetivos de control y requisitos de prueba. Aclaración
Varios Varios Se actualizaron todas las referencias a "guía de seguridad del fabricante" a "guía de implementación del fabricante de software" para alinearlas con los cambios en el Objetivo de control 12. Aclaración
Requisitos del Software Seguro Requisitos del Software Seguro de PCI Se agregó "PCI" al título de la sección de Requisitos de Software Seguro. Aclaración
Requisitos del Software Seguro Visión General de Requisitos Se movieron las descripciones de las secciones de Requisitos básicos de software seguro y Módulo A: Protección de datos de tarjeta a la sección Descripción general de los requisitos. Aclaración
Objetivos de Seguridad Visión General de Requisitos Se actualizó el título y el contenido de la sección para eliminar el concepto de "objetivos de seguridad" como una construcción de documento formal. Se agregó una descripción general de las principales secciones de requisitos para explicar cómo se organizan los requisitos dentro del documento. Aclaración
No Aplica Plataforma de Prueba Se agregó una nueva subsección para explicar el propósito y el uso de una "Plataforma de prueba". Guía Adicional
Requisitos del estándar Software Seguro
Sección PCI SSS Cambio Tipo
v1.0 v1.1
1.2.b, 1.2.c, 2.2.a, 2.2.b, 2.2.c 1.2.b, 1.2.c, 2.2.a, 2.2.b, 2.2.c Lenguaje actualizado en los requisitos de la prueba para alinearlo con el lenguaje en los Objetivos de Control asociados. Aclaración
2.1.a
2.2.b
2.3.d
4.2.c
6.3.b
7.2.a
2.1.a
2.2.b
2.3.d
4.2.c
6.3.b
7.2.a
Se actualizaron las referencias a la "instalación" del software para incluir la "inicialización o el primer uso" para tener en cuenta los escenarios en los que el software se entrega (por ejemplo, a través de un servicio) en lugar de instalarlo. Aclaración
2.1.b, 2.1.c
3.1.d
3.3.a
3.4.a, 3.4.c
3.5.a, 3.5.c
5.2.c
5.4.a
7.1.a, 7.1.b
7.4.a
8.1.a
8.3.b
9.1.a, 9.1.c, 9.1.d
10.2.a
A.2.3.a
2.1.b, 2.1.c
3.1.d
3.3.a
3.4.a, 3.4.c
3.5.a, 3.5.c
5.2.c
5.4.a
7.1.a, 7.1.b
7.4.a
8.1.a
8.3.b
9.1.a, 9.1.c, 9.1.d
10.2.a
A.2.3.a
Se eliminaron las referencias internas innecesarias o incorrectas. Aclaración
2.1.e
7.1.b
2.1.e
7.1.b
Se modificó la referencia en las notas de "modelo de amenaza" a "información de amenaza". Aclaración
2.3.a, 2.3.d, 2.3.e
3.1.a, 3.1.b
3.2.a, 3.2.b
5.1.a, 5.3.a
6.1.b
6.2.b
7.1.e
2.3.a, 2.3.d, 2.3.e
3.1.a, 3.1.b
3.2.a, 3.2.b
5.1.a, 5.3.a
6.1.b
6.2.b
7.1.e
Lenguaje aclarado en las notas en los requisitos de prueba con referencias internas a otros Objetivos de Control. Aclaración
3.4 3.4 Se eliminó la referencia incorrecta a ISO 27038 en la guía. Aclaración
3.6.b 3.6.b Se actualizó la referencia de requisitos de prueba incorrecta de 3.2.a a 3.6.a. Aclaración
4.1 4.1 Se actualizó la nota en el Objetivo de Control 4.1 para aclarar que debe validarse al mismo tiempo que el Objetivo de Control 10.1, ya que es una extensión del 10.1. Este cambio se implementó para alinearse con referencias similares en el Módulo de Software del Terminal. Aclaración
5.2 5.2 Se actualizó la nota en la guía para aclarar que los objetivos de control a los que se hace referencia cubren "funciones sensibles" y "recursos sensibles" además de "datos sensibles". Aclaración
6.2.c
6.3.b
7.4.c
9.11d
6.2.c
6.3.b
7.4.c
9.11d
Se simplificó el lenguaje en el requisito de la prueba. Aclaración
7.1.c
7.4.a
7.1.c
7.4.a
Se reemplazaron las referencias a "DSS" por "firma digital". Aclaración
7.3
8.2
7.3
8.2
Se aclaró el lenguaje en la guía. Aclaración
12 12 Se cambió el nombre del objetivo de control 12 de "Guía de Seguridad del Fabricante" a "Guía de Implementación del Fabricante de Software" para aclarar la intención. Aclaración
Módulo A - Protección de datos de tarjeta Módulo A: Requisitos de protección de datos de tarjeta Se cambió el nombre del título de la sección de "Protección de datos de tarjeta" a "Requisitos de protección de datos de tarjeta". Se agregó una nueva tabla de resumen y una nueva sección "Propósito y alcance" al comienzo del módulo para describir el propósito y la aplicabilidad del módulo. Guía adicional
No Aplica Módulo B - Requisitos del Software del Terminal Nuevo módulo de requisitos para el software destinado a la implementación y ejecución en terminales de pago (por ejemplo, dispositivos POI aprobados por PCI). Requisito evolucionado
Tabla 2: Resumen de los cambios del estándar PCI de Software Seguro v1.1


Sección PCI SSLCS Cambio Tipo
v1.0 v1.1
Varios Varios Pequeñas actualizaciones para abordar las erratas, mejorar la legibilidad y aclarar la intención. Se agregó una aclaración para diferenciar a los fabricantes de software de otros tipos de proveedores a los que se hace referencia en el documento. Aclaración
Varios Varios Reemplazo de todas las referencias de "software de pago" por "software"; y "SSLC" con "Secure SLC". Reemplazo también de todas las referencias de "guía de seguridad del fabricante" por "guía de implementación del fabricante de software" para alinear con los cambios del Objetivo de Control número 8 y cambios similares en el PCI SSS. Aclaración
Varios Varios Se agregaron hipervínculos a todas las referencias internas a otras secciones, objetivos de control y requisitos de prueba. Aclaración
Requisitos del Ciclo de Vida del Software Seguro Requisitos del Ciclo de Vida del Software Seguro Se agregó "PCI" al título de la sección Requisitos del Ciclo de Vida del Software Seguro. Aclaración
Objetivos de Seguridad Visión General de Requisitos Actualización del título y el contenido de la sección para eliminar el concepto de "objetivos de seguridad" como una construcción de documento formal. También se eliminaron referencias similares de otras secciones del documento. Aclaración
Procedimientos de Evaluación y Requisitos de Prueba Procedimientos de evaluación y requisitos de prueba Se movió la frase que hace referencia a sub-viñetas y términos definidos por el fabricante de software al primer párrafo de esta sección para alinearla con información similar en el PCI SSS. Aclaración
Requisitos del estándar Ciclo de Vida del Software Seguro
2.4 2.4 Se corrigió la referencia en la última viñeta del Requisito de Prueba 2.4.b del Objetivo de Control 2.5 al Objetivo de Control 2.6. Aclaración
2.5 2.5 Se movió la referencia al Requisito de Prueba 2.4.a anteriormente en el Requisito de Prueba 2.5.a para mejorar la legibilidad. Aclaración
2.6 2.6 Se eliminó la referencia al Objetivo de Control 2.5 del Requisito de Prueba 2.6.b. Aclaración
3.2 3.2 Se actualizó el lenguaje en la tercera viñeta del Requisito de Prueba 3.2.b para eliminar la información irrelevante. Aclaración
3.3 3.3 Se eliminaron las referencias a la revisión de pruebas específicas para simplificar el Requisito de Prueba 3.3.c. También se actualizó el lenguaje en la guía para mejorar la legibilidad. Aclaración
3.4 3.4 Se eliminó la referencia al Objetivo de Control 3.3 de la última viñeta del Requisito de Prueba 3.4.a. Aclaración
4.1 4.1 Se eliminaron las referencias al Objetivo de Control 1.3 del quinto punto del Requisito de Prueba 4.1.a y de la guía. Aclaración
5
6
5
6
Se actualizó el lenguaje en los Objetivos de Control padres para que estén más basados en objetivos y sean menos prescriptivos. Aclaración
8
8.1
8.2
8
8.1
8.2
Se reemplazaron las referencias a "guía de seguridad del fabricante" por "guía de implementación del fabricante de software" para aclarar la intención y alinearse con cambios similares en el PCI SSS. Aclaración
10.1 10.1 Se eliminó la referencia al Objetivo de Control 5.2 de la última viñeta en el requisito de prueba 10.1.b. Aclaración
Tabla 3: Resumen de los cambios del estándar PCI del Ciclo de Vida del Software Seguro v1.1

Conclusiones

Tras esta primera evolución del marco PCI SSF que afecta a los dos estándares que contiene (PCI SSS y PCI SSLCS), ahora se ha ampliado el alcance y aplicabilidad de dichos estándares para abarcar, principalmente, aplicaciones destinadas a ser instaladas en datáfonos certificados PCI PTS. El Módulo B de PCI SSS v1.1 recoge todos los controles y requisitos necesarios para las aplicaciones que se ajusten a este escenario.

Como en otras ocasiones, el PCI SSC también ha aprovechado esta actualización de los estándares para corregir erratas e introducir modificaciones en el texto menores.
 

Referencias


Autor: Alberto Villar -  PCI SSA, PCI QSA, CISSP, CSSLP, ISO 27001 L.A., CSFPC, SFPC
Dpto. Consultoría