El estándar PCI DSS (Payment Card Industry Data Security Standard) tiene como objetivo principal la mejora de la seguridad de los datos de cuenta de los titulares de tarjetas de las marcas de pago (American Express, Discover, JCB, Mastercard, UnionPay y VISA). Este estándar facilita la adopción de medidas de seguridad consistentes a nivel global, proporcionando una base sólida de requisitos técnicos y operacionales que deben seguir las organizaciones que almacenan, procesan y/o transmiten datos de tarjetas de pago de esas marcas. El estándar se divide en 12 requisitos principales, además del anexo A (A1, A2, A3) que contiene requisitos adicionales. Estos 12 requisitos se agrupan en 6 objetivos:
Cada uno de los 12 requisitos de PCI DSS está diseñado para garantizar la seguridad de los datos de cuenta y minimizar los riesgos de fraude. Estos requisitos cubren una amplia gama de controles de seguridad en áreas como el almacenamiento, la transmisión, el acceso y la protección de los datos de cuenta. A su vez, cada uno de estos requisitos se adapta de manera específica a las fases del proceso continuo de conformidad, asegurando que se mantenga el cumplimiento de PCI DSS de manera sostenible mediante un proceso continuo de conformidad:
En este primer artículo definiremos y explicaremos en qué consiste el Enfoque Prioritario definido por el PCI SSC, identificaremos los distintos hitos marcados por este enfoque y entraremos en detalle en los primeros hitos.
Enfoque Prioritario
El Enfoque Prioritario es una estrategia desarrollada para ayudar a las organizaciones a cumplir con los requisitos de seguridad establecidos por el estándar de PCI DSS. Este enfoque se centra principalmente en la protección de los datos de cuenta, agrupando los 12 requisitos fundamentales recogidos en el estándar, junto con parte del apéndice A (A1 y A2), en 6 hitos clave de seguridad.
El propósito principal del Enfoque Prioritario es abordar los riesgos asociados al almacenamiento, procesamiento y/o transmisión de los datos de cuenta de los titulares de tarjetas de pago de las marcas de pago, proporcionando a las organizaciones una ruta clara y estructurada para gestionar sus vulnerabilidades, amenazas y otros factores de mayor riesgo de forma efectiva, facilitando a la organización el cumplimiento en materia de PCI DSS y protegiendo los datos de cuenta con mayor rapidez. El enfoque prioriza las áreas de mayor riesgo, facilitando un cumplimiento más rápido y eficiente.
Por tanto, el objetivo del Enfoque Prioritario es guiar a las organizaciones en la priorización de sus esfuerzos para alcanzar la conformidad con el estándar de PCI DSS, al tiempo que establecen hitos claros y alcanzables, y reducir el riesgo asociado a los datos de cuenta en los entornos en la fase más temprana del proceso de conformidad.
El PCI SSC señala una serie de beneficios por cumplir con los hitos:
▪️ Proporciona una hoja de ruta. El Enfoque Prioritario ofrece una guía para que las organizaciones aborden sus riesgos de seguridad de forma secuencial y según su relevancia. Esta hoja de ruta ayuda a dividir la fase de implementación de todos los controles en tareas más manejables y bien definidas, reduciendo la complejidad y facilitando la ejecución efectiva de las acciones necesarias para lograr la conformidad con PCI DSS.
▪️ Genera “quick wins”. La priorización en la implementación de los controles que suponen un mayor riesgo en el entorno favorece la implementación de mejoras rápidas en la seguridad del entorno, aumentando la protección de los datos de cuenta y reforzando la postura de seguridad de la organización de manera inmediata, reduciendo vulnerabilidades críticas en plazos cortos.
▪️ Apoya la planificación financiera y operativa de una organización. El Enfoque Prioritario ayuda a las empresas a planificar de forma más efectiva, asignando recursos de manera más eficiente al identificar y categorizar los riesgos en el alcance. Esto asegura que los esfuerzos de cumplimiento sean sostenibles en el tiempo.
▪️ Favorece indicadores de progreso objetivos y medibles. Los 6 hitos definidos en el Enfoque Prioritario proporcionan indicadores de progreso claros y medibles, favoreciendo el seguimiento en la implementación de los distintos controles.
▪️ Promueve la consistencia en las evaluaciones. El Enfoque Prioritario ayuda a garantizar que los evaluadores de cumplimiento sigan un proceso más uniforme, objetivo y consistente al evaluar el progreso y las acciones de conformidad de las organizaciones.
Otros de los aspectos más destacados del Enfoque Prioritario son:
▪️ Identificación de los objetivos de mayor riesgo. Ayuda a las organizaciones a identificar los objetivos de mayor riesgo en relación a la seguridad de los datos de cuenta, priorizando las acciones mitigatorias y correctivas. De esta forma se reducen los riesgos de una forma más ágil y eficiente, minimizando las amenazas de seguridad con un impacto rápido.
▪️ Creación de un lenguaje común. Facilita la comunicación y garantiza que todas las partes involucradas tengan una comprensión clara de las prioridades y del progreso logrado durante los procesos de implementación y evaluación de PCI DSS.
▪️ Demostración del progreso de conformidad. Los distintos hitos definidos permiten a las organizaciones el monitorizar el progreso en la implementación de las medidas de seguridad requeridas por el estándar. El Enfoque Prioritario permite a los adquirientes medir objetivamente las actividades de conformidad y la reducción de riesgos de las organizaciones.
El Enfoque Prioritario fue creado con la colaboración de la Junta de Asesores del PCI SSC, con comentarios de QSAs, investigadores forenses y con los resultados de compromisos de datos en el mundo real. Ofrece orientación sobre cómo enfocar los esfuerzos de implementación de PCI DSS, priorizando el proceso de cumplimiento, aunque no es obligatorio y permite a las organizaciones adoptar proyectos de cumplimiento PCI DSS en el orden que consideren oportuno.
Hitos de priorización
Los 6 hitos definidos por el PCI SSC en esta herramienta, con sus respectivos objetivos, se muestran a continuación:
Los distintos requisitos incluidos en el Enfoque Prioritario no incluyen las notas de aplicabilidad y otra información importante que se encuentra dentro del estándar, por lo que las organizaciones deben consultar el estándar para ver esta información.
Hito 1: No almacenar datos confidenciales de autenticación y limitar la retención de datos de tarjetahabientes
Este primer hito se considera el más importante ya que establece la base fundamental de protección de los datos de cuenta de los titulares de tarjetas de pago, que constituye el objetivo principal del estándar PCI DSS. Este hito se basa en el principio clave de PCI DSS: “si no se necesita, no almacene”.
El almacenamiento innecesario de datos de cuenta aumenta considerablemente la superficie de ataque en una organización y, por tanto, la exposición a brechas de seguridad. Por esta razón, reducir al mínimo el almacenamiento de datos sensibles es esencial para proteger tanto a las organizaciones como a los titulares de tarjetas. Si, por alguna razón, es necesario almacenar datos de cuenta, estos deben ser restringidos y protegidos mediante estrictos controles de seguridad.
Por tanto, este hito estará formado, principalmente, por aquellos controles del estándar que buscan proteger los datos sensibles de autenticación almacenados y aquellos requisitos que permiten identificar el alcance del entorno. Estos requisitos buscan:
▪️ Limitar los datos de cuenta del titular de tarjeta, tanto datos de tarjeta (CHD) como datos sensibles de autenticación (SAD) mediante políticas y procedimientos de retención y de borrado de datos (requisito 3.2.1).
▪️ Evitar la retención de los datos sensibles de autenticación o SAD (contenido de cualquier pista, código de verificación de tarjeta o PIN/PINBLOCK) después de la autorización de la operación, incluso si están cifrados (requisito 3.3.1). Todos los SAD recibidos deben volverse irrecuperables finalizado el proceso de autorización de la transacción. Aquellos que se almacenan electrónicamente antes de completar la autorización deben cifrarse mediante criptografía robusta (3.3.2).
▪️ Limitar el almacenamiento de SAD en base a las necesidades de negocio de emisores o empresas que soportan los procesos de emisión y cifrar esos SAD utilizando criptografía robusta (requisito 3.3.3).
▪️ Identificar todas las conexiones entre el CDE y otras redes, incluyendo las redes inalámbricas, de forma adecuada en un diagrama de red (requisito 1.2.3) y todos los flujos en un diagrama de flujo (1.2.4).
▪️ Destruir los medios con datos de cuenta, tanto aquellos presentes en materiales impresos (requisito 9.4.6) como en medios de almacenamiento electrónico (requisito 9.4.7).
▪️ Revisar, confirmar y documentar el alcance PCI DSS anualmente, en caso de ser un merchant (requisito 12.5.2), o semestralmente, en caso de ser un proveedor de servicio (requisito 12.5.2.1).
Hito 2: Proteja los sistemas y las redes y esté preparado para responder a una infracción del sistema
El hito 2 del Enfoque Prioritario es fundamental para mantener seguro el entorno de PCI DSS asegurando la protección tanto de los componentes de sistema como de las redes implementando una serie de controles técnicos y de acceso, asegurando que la organización esté preparada para responder de forma efectiva ante un incidente de seguridad, reduciendo significativamente el riesgo de brechas de seguridad y ciberataques.
En este hito se concentra la mayoría de los requisitos del estándar, lo cual supone en aspecto básico para garantizar la conformidad del entorno de PCI DSS de acuerdo con el estándar. Algunos de los requisitos que componen el hito 2 son:
▪️ Protección de las redes que forman parte del alcance a través de configuraciones seguras de los controles de seguridad de redes o NSCs (gran parte de los controles del requisito 1) y del resto de componentes de sistema que forman parte del entorno de PCI DSS (gran parte de los controles del requisito 2).
▪️ Protección de las comunicaciones en las que se transmiten PANs a través de redes públicas abiertas con protocolos de seguridad y criptografía robusta (requisito 4.2.1 y 4.2.2).
▪️ Implementación, supervisión, gestión y mantenimiento de soluciones antimalware que protegen los sistemas que forman parte del entorno de PCI DSS, así como la implantación de procesos y mecanismos automatizados para detectar y proteger al personal ante phishing (gran parte del requisito 5).
▪️ Gestión de los scripts de las páginas o formularios de pago que se cargan y ejecutan en el navegador del consumidor (requisito 6.4.3).
▪️ Gestión del acceso lógico al entorno mediante cuentas de usuarios controladas de manera segura por las organizaciones (la mayoría del requisito 8). Esto implica el uso de contraseñas robustas, MFA o políticas de control de acceso para minimizar el riesgo de acceso no autorizado.
▪️ Asegurar la seguridad física del entorno que alberga las infraestructuras relacionadas con PCI DSS (gran parte del requisito 9). El objetivo principal es proteger el acceso a estas infraestructuras, reduciendo así la superficie de ataque mediante mecanismos de control y monitorización de accesos al entorno. Además, incluye la protección física de los dispositivos de punto de interacción o POI (9.5).
▪️ Ejecución de las distintas pruebas de seguridad definidas por el estándar enfocadas a la identificación de vulnerabilidades en el entorno: Escaneos internos de vulnerabilidades (11.3.1), escaneos externos de vulnerabilidades (11.3.2) o pruebas de penetración y segmentación (11.4).
▪️ Protección del entorno a través de técnicas IDS/IPS (11.5.1) o mediante mecanismos de detección de cambios y manipulaciones (11.6.1).
▪️ Ejecución de un análisis de riesgos en conformidad a lo definido por PCI DSS para los requisitos del estándar que proporcionan una flexibilidad sobre la frecuencia con la que se realizan (12.3.1) o para los requisitos que muestren su cumplimiento a través de un enfoque personalizado (12.3.2).
▪️ Mantenimiento y actualización de inventarios con los componentes del sistema que forman parte del alcance (12.5.1).
▪️ Implementación de un proceso para la gestión adecuada de proveedores de servicio (requisito 12.8).
▪️ Gestión de clientes de forma adecuada en caso de tratarse de un proveedor de servicio (12.9).
▪️ Gestión de los incidentes de seguridad de acuerdo a un plan de respuesta ante incidentes establecido y actualizado (12.10).
▪️ Para organizaciones multiusuarios o multi-tenant:
- Mantenimiento de controles efectivos de separación lógica para separar clientes (A1.1.4).
- Implementación de procesos o mecanismos relacionados con la investigación forense y la gestión de vulnerabilidades e incidentes de seguridad (A1.2.2 y A1.2.3).
▪️ Para proveedores de servicio con POS POI que utilizan versiones de SSL o TLS temprano, implementación de controles adicionales para la protección de los datos de cuenta de las tarjetas (A2.1.1, A2.1.2 y A2.1.3).
Referencias
🔗 Payment Card Industry (PCI) Data Security Standard, v4.0.1
🔗 Prioritized Approach for PCI DSS
🔗 Prioritized Approach Tool.