La segmentación de red, cuando se realiza correctamente mejora la seguridad de la red y su rendimiento. Aunque PCI-DSS no exige que se realice segmentación de red, sí es muy recomendable.
La segmentación de red no previene un ataque a su red, pero limita la influencia y acceso que podrá obtener el atacante.
Las organizaciones que disponen de información de tarjetas de crédito, información financiera, investigaciones, información de desarrollos u otra propiedad intelectual en su red deben segmentar esa información para que esta esté en otro segmento diferente al de la red principal.
De este modo, si se procesan datos de tarjetas de crédito y esa información que contiene los datos esta segmentada, sólo ese segmento estará sujeto a PCI-DSS.
Esto significa que se limitará el alcance de la normativa, ya que la organización sólo deberá adaptarse a los requerimientos de PCI-DSS para ese segmento de red. Lo que le comportará un ahorro de tiempo y esfuerzo.
Obligado para comercios y proveedores de servicio
Los comercios y proveedores de servicio deben de realizar pruebas de la correcta implementación y de funcionalidad de la segmentación de la red como parte de los test de penetración requeridos por PCI-DSS.
La segmentación de la red está definida en el requerimiento 11.3.4 de la normativa PCI-DSS:
“Si se usa la segmentación para aislar el CDE (Entorno de datos del titular de la tarjeta) de otras redes, realice pruebas de penetración, al menos, una vez al año y después de implementar cambios en los métodos o controles de segmentación para verificar que los métodos de segmentación sean operativos y efectivos, y que aíslen todos los sistemas fuera de alcance de los sistemas dentro del alcance.”
Para los proveedores de servicio (requerimiento PCI-DSS 11.3.4.1) se define que los test de segmentación deberán ser realizados al menos cada 6 meses o después de un cambio significativo en la segmentación de la red.
Los test realizados por comercios y proveedores de servicios serán realizados de la misma manera. La única diferencia entre ambos es la periodicidad.
Segmentación de red PCI
La segmentación de red sirve para varios propósitos. Ayuda a la reducción de cuellos de botella, de obstáculos en la red y a la separación de elementos clave de otros segmentos. Y por tanto a consecuencia de estas acciones conseguiremos que la gestión de la red resulte más llevadera.
Cada organización debe deberá mantener sus procesos y procedimientos de segmentación en cumplimiento con las necesidades de la compañía. Una gran organización, por ejemplo, cuyas operaciones cubran todo tipo de pagos, deberá mantener los datos de titulares de las tarjetas (CHD) en un segmento y en otro la demás información.
El entorno de datos del titular de la tarjeta (CDE) es parte de la red que almacena, procesa y transmite información de titular de tarjetas de crédito. Habitualmente, los CDE están dentro del ámbito de PCI-DSS y los otros segmentos se quedan fuera de ámbito de la normativa.
Los CHD comportan el nombre del titular, el número de la tarjeta, le fecha de expiración o el código de servicio y el código CVV. Esta información nunca debería ser comprometida o filtrada.
Según el requerimiento PCI-DSS 11.3.4, el CDE debe de ser seguro y tener un acceso limitado a otros segmentos. Asimismo, el CDE sólo debe de estar disponible vía una red interna y no debería tener acceso a recursos externos.
En otras palabras, no deben de crearse enlaces no autorizados entre entornos PCI y no PCI y el acceso a los entornos PCI debería ser garantizado en cualquier situación.
Contenido de los 3 principales ámbitos
En terminología PCI-DSS, hay 3 principales ámbitos para tener en cuenta. Entender la terminología usada por PCI-DSS es un aspecto crítico para poder pasar una prueba de segmentación de forma positiva.
- Sistemas CDE – Son sistemas que procesan, almacenan o transmiten datos de autenticación o datos de titulares de tarjetas de crédito o que directamente están conectados a esos sistemas. Este tipo de sistemas o dispositivos están también descritos como Categoría 1 o Nivel 1.
- Sistemas Afectados o Conectados — Son sistemas que proveen servicios CDE o están conectados a sistemas CDE que potencialmente pueden afectar a sistemas dentro de un CDE. Estos sistemas o dispositivos pueden alternativamente ser descritos como Servicios Compartidos, Nivel 2 o Categoría 2.
- Sistemas fuera de alcance (también conocidos como sistemas de Nivel 3 o Categoría 3) — Son sistemas que no están conectados a un CDE.
El cumplimiento de la normativa PCI-DSS aplica a los entornos CDE y los sistemas afectados o Conectados (Categoría 1 y 2). Los sistemas de Categoría 3, por otro lado, son necesarios para los test de segmentación para poder comprobar que ningún elemento de los sistemas de Categoría 3 puede tener acceso a ningún sistema de Categoría 1 ni viceversa.
La prueba de segmentación será considerada como satisfactoria cuando se demuestre que ningún elemento de Categoría 3 tiene acceso a un ningún sistema de Categoría 1. Un test que solo analice objetivos de Categoría 3 y 1 no será válido, ya que estos deben de contener a su vez elementos de Categoría 2.
Además, los requerimientos sobre segmentación descritos por PCI-DSS piden que las pruebas de los CDE deben de realizarse sobre la red interna y externa dando especial interés a las pruebas de segmentación realizadas desde el exterior del CDE.
El propósito de realizar test de segmentación desde dentro y fuera del CDE, de la misma manera que otras áreas de la red, como por ejemplo Internet, es dar soporte a los análisis y resultados de la revisión de las reglas de los firewalls por parte de los Asesores de Seguridad Certificados (QSA) tal y como está descrito en el requerimiento 1.3 de PCI-DSS.
¿Desea conocer en detalle como la segmentación de red puede ayudar a su organización? Contacte con nuestros QSA en info@fortytwo.nl
Podrá encontrar más información sobre cómo la segmentación de red puede ayudar a reducir los ámbitos y costes en una auditoria PCI-DSS en este artículo: 4 sencillos consejos para reducir los costes de PCI DSS