NL +31 (0)20 4232420 / Spain +34 607 676 354 info@fortytwo.nl

La reducción del alcance PCI DSS de una organización es una forma eficaz de ahorrar costos en las auditorías PCI. Oficialmente no es necesario segmentar la red o aislar los sistemas que procesan, transmiten o almacenan datos de tarjetas de crédito. Sin embargo, sin la adecuada segmentación de red y el aislamiento de los sistemas de datos del titular de la tarjeta («CHD»), todos los sistemas conectados a una red están dentro del alcance de los requisitos de PCI DSS. Cuantos más sistemas estén en el alcance, más trabajo se necesitará para cumplir con la norma, ya que la aplicación de todos los requisitos de PCI DSS es un proceso intensivo en mano de obra. Creemos que debería ser una prioridad importante para los administradores de TI.

 

¿Por qué debería ser una prioridad?

 

Los datos en general significan una amenaza para cualquiera que los almacene o procese. Por lo tanto: si no lo necesitas, ¡no lo almacenes! A menudo vemos partes interesadas que tienen hambre de almacenar datos, sin pensar en los riesgos involucrados. Si una organización logra disminuir la cantidad de datos de las tarjetas que se encuentran en su posesión, el impacto de la pérdida de datos es limitado. Lo que significa:

  • Ahorro de costes
  • Menos estrés
  • Es menos probable que las actualizaciones de la reglamentación afecten a los procesos
  • Las brechas de seguridad se minimizan
  • El cumplimiento de PCI es más sencillo

 

Definición del CDE

 

El paso clave hacia el cumplimiento de PCI DSS es definir el entorno de datos de tarjetas (cardholder data environment – CDE). Esto se ha convertido en un punto débil a la hora de determinar el alcance desde la introducción de PCI DSS versión 3.0. Las versiones posteriores introdujeron complejidad adicional al agregar un nuevo control que requiere autenticación multifactor para cualquier aplicación de administración, no consola, dentro del entorno CDE incluidos sistemas tales como aplicaciones web.

 

Reducir el alcance PCI

 

Las siguientes sugerencias pueden ayudarle a reducir el alcance PCI.

1.Aislamiento de la red

Una de las maneras más evidentes de reducir el alcance consiste en permitir que un número menor de dispositivos accedan al CDE. En general, cuanto mayor sea el número de dispositivos que pueden acceder al CDE, mayor será la carga administrativa asociada. Sin embargo, la reducción del número de dispositivos con acceso no siempre es posible debido a los recursos designados que necesitan acceso al CDE para realizar sus tareas diarias.

Los dispositivos que están conectados a sistemas CDE o que pueden afectar a la seguridad de esos sistemas se consideran dentro del alcance desde una perspectiva PCI DSS. La mejor manera de reducir el alcance de PCI DSS es separar física y/o lógicamente esos dispositivos del resto de los sistemas del entorno. El beneficio aquí es doble:

• Proporciona una clara delimitación entre los sistemas dentro y fuera del alcance
• Identifica las áreas en las que es necesario implementar controles para restringir el acceso al entorno

2. Dispositivos dedicados

Una solución adicional para minimizar el alcance de PCI DSS es utilizar dispositivos dedicados en segmentos de red aislados que solo se utilizan para procesar pagos con tarjetas o realizar funciones administrativas dentro del entorno aislado. Estos dispositivos se encuentran normalmente en forma de terminales de punto de venta en comercios, o estaciones de trabajo en centros de llamadas, para el caso de pagos a través del teléfono. Estos dispositivos dedicados interactuarán con los sistemas dentro de los límites del CDE y no tendrán acceso a sistemas fuera del CDE aislado. La desventaja de este enfoque es la introducción de dispositivos adicionales para mantener, potencialmente la duplicación de funcionalidades entre dos entornos, (por ejemplo, dos servidores antivirus, dos servidores de registro centralizados, etc.). Dependiendo de los procesos de pago y los flujos de trabajo de las aplicaciones, esta solución puede ser más fácil de lograr en algunos casos determinados.

3. Tokenización

En muchos escenarios, un sistema puede necesitar saber que se ha proporcionado un número de tarjeta legítimo, pero puede que no necesite ver o interactuar con los 16 dígitos completos del número de tarjeta (PAN). En estos escenarios, el PAN puede ser «tokenizado» con poco o ningún impacto en el proceso o sistema que utiliza el token. La ventaja de esta tokenización es que únicamente los sistemas que reciben originalmente el propio PAN, el sistema de tokenización y cualquier otro sistema intermedio deben estar dentro del alcance PCI. Cualquier otro sistema que solo almacene o interactúe con el token se puede considerar fuera del alcance de cumplimiento, si están aislados adecuadamente de otros sistemas de procesamiento de tarjetas. Es importante tener en cuenta que, sin la segmentación y el aislamiento adecuados, los sistemas que manejan tokens todavía pueden considerarse dentro del alcance, lo que elimina la principal ventaja de la tokenización.

4. Cifrado punto a punto

El cifrado punto a punto (P2PE) puede reducir drásticamente el alcance de PCI DSS dentro del entorno. Normalmente se encuentra en dispositivos de punto de interacción con los clientes (POI), esta técnica cifrará los datos del titular de la tarjeta directamente en el terminal y esos datos no se descifrarán hasta que lleguen al procesador de pagos. El propietario del dispositivo POI no tiene acceso a las claves de cifrado y, por lo tanto, puede considerarse que el entorno por el que fluyen los datos cifrados se elimina del alcance PCI.
Pero recuerde que mientras esto puede ayudar a reducir el alcance de sus esfuerzos de cumplimiento, todos los demás procesos que manejan datos de tarjetas todavía deben considerarse al definir el CDE completo. Por ejemplo, si hay un proceso de negocio para anotar información de la tarjeta y posteriormente procesar esa información, el alcance debe incluir esos procesos y los sistemas asociados.

Conclusión

Mediante el uso de técnicas de aislamiento de la red, dispositivos dedicados, tokenización, P2PE o una combinación, los comercios pueden reducir eficazmente el alcance de su CDE, manteniendo los procesos de negocio esenciales. Cada uno de estos enfoques debe tenerse en cuenta al evaluar el coste total del cumplimiento PCI DSS.

Los servicios de cumplimiento PCI de Fortytwo Security pueden ayudar a su organización de múltiples maneras. Póngase en contacto con nosotros para ver lo que podemos hacer por usted.

Leer más sobre tokenización