ESTÁNDARES PCI DSS: ¿cómo cumplir? La seguridad relacionada con números de tarjeta de crédito supone un verdadero dolor de cabeza para bancos, comercios, proveedores de servicios que operan en nombre de los comercios y, por supuesto, para los propios clientes. Cada día se cometen fraudes relacionados con tarjetas de crédito, debido a accesos de hackers a sistemas que almacenan datos de tarjetas, que son robados y utilizados para cometer fraude. Como respuesta por parte del sector, las marcas de tarjetas de crédito han creado el conjunto de requerimientos de seguridad al que se ha denominado PCI DSS (PCI Data Security Standard). El cómo abordar la implantación de estos requerimientos es el objetivo de este artículo. Miguel Ángel Domínguez Torres ¿QUÉ ES PCI DSS? Antes de afrontar el proceso de implantación de los requerimientos(tabla1) PCI DSS, es necesario que las empresas tengan el conocimiento mínimo de qué y cómo se aplica este estándar de seguridad. PCI DSS es un estándar de seguridad que define el conjunto de requerimientos para gestionar la seguridad, definir políticas y procedimientos de seguridad, arquitectura de red, diseño de software y todo tipo de medidas de protección que intervienen en el tratamiento, procesado o almacenamiento de información de tarjetas de crédito. Su finalidad es la reducción del fraude relacionado con las tarjetas de crédito e incrementar la seguridad de estos datos. PCI DSS es fruto del esfuerzo del PCI Security Standards Council (PCI SSC1) formado por las principales marcas de tarjetas de crédito (Visa2, Mastercard3, American Express4, JCB5 y Discover6). Las organizaciones son catalogadas en 3 tipologías: • Comercios (super/hipermercados, autopistas, comercio-e, agencias de viajes, etc.), en inglés merchants. Tabla 1: Requerimientos PCIDSS 92 • Proveedores de servicios (ISP/ASP, pasarelas de pago, fabricantes de tarjetas, servicios de envío de tarjetas, procesadores de transacciones, etc.), en inglés service providers. • Entidades financieras (bancos, cajas de ahorro, entidades de crédito, etc.), en inglés acquirers. En la actualidad, dado que el negocio de tarjetas de crédito en España está liderado por Visa y Mastercard, los comercios están recibiendo requerimientos de cumplimiento PCI DSS por medio de las entidades financieras que a su vez han sido requeridas por las marcas para obligar a los comercios a cumplir PCI DSS. En efecto, las entidades financieras sables) de asegurar que todos los comercios y proveedores de servicio a los que representan cumplen PCI DSS, éstos no están siendo el objetivo principal de Visa y Mastercard, y esto se refleja en que en la actualidad no existen requerimientos específicos de validación o proceso de certificación para las entidades financieras (aunque no quiere decir que en un futuro no aparezcan), aunque sí se les recomienda realizar validaciones en forma de auditorías anuales. Por tanto, el punto de partida tendría que ser hacernos preguntas como: ¿me aplica PCI DSS? ¿Qué repercusión tiene no cumplir PCI DSS? ¿En qué puntos de mi organización tengo que cumplir PCI DSS o lo que es lo mismo, cuál es mi entorno de cumplimiento? ¿Cuál es mi estado actual de cumplimiento? ¿Qué tareas debo realizar para acabar cumpliendo PCI DSS? Si mi empresa realiza algún tipo de procesamiento, transmisión o almacenamiento de información de tarjetas de crédito (esto implica el número de la tarjeta o PAN - Primary Account Number Number), ya sea de forma directa o indirecta mediante algún proveedor de servicios, entonces, queda afectada por el cumplimiento de los requerimientos que establece PCI DSS. Posibles repercusiones de no implementar PCI DSS en el caso de que la empresa quede afectada por este estándar son: lo estipulado por contrato: multas, Ilustración 1 Proceso de implantación PCI DSS también deben cumplir PCI DSS. Lo que es cierto es que, por un lado, dada su trayectoria en gestión de seguridad de la información y, por otro lado, dado que cumplen también el papel (son respon- rescisiones de contrato, gastos de investigación forense en caso de incidente, etc.; pérdida de reputación y daños a la imagen corporativa; pérdida de clientes; etc. La mejor manera de afrontar el resto de preguntas es mediante la realización de un estudio o análisis preliminar del estado de cumplimiento, donde se define el ámbito al que aplica el estándar (entorno de cumplimiento), identificando cómo fluye la información de tarjetas a través de los diferentes sistemas, aplicaciones y redes de la organización, así como los departamentos y personas afectadas, y que permite medir también el grado de madurez de la empresa respecto al cumplimiento de los requerimientos establecidos por el estándar. Previo a estos puntos, es aconsejable haber realizado una sesión de familiarización con PCI DSS, es decir, poner en conocimiento de todos los departamentos y empleados afectados, qué es PCI DSS, cuáles son los requeriSEPTIEMBRE 2007 / Nº76 / SiC ESTÁNDARES mientos que impone y cómo les afectan, de manera que todos hablemos el mismo lenguaje a la hora de definir el Programa de Cumplimiento PCI DSS. Un aspecto crucial de este análisis preliminar es la identificación de relaciones con proveedores de servicio que controlan parte o, en algunos casos, todo el proceso de negocio en el que intervienen las tarjetas de crédito. Hemos de tener en cuenta que independientemente de cómo se almacenen o transmitan los datos de las tarjetas de crédito, nuestra empresa será siempre la responsable última de la seguridad de esta información. Por tanto, debemos asegurarnos de que trabajamos con proveedores que cumplen PCI DSS y, de hecho, Visa recomienda que esto se establezca como un requerimiento contractual de los comercios con sus proveedores de servicios. PROGRAMA DE CUMPLIMIENTO PCI DSS Una vez se conoce dónde se tiene que aplicar el estándar y en qué estado de cumplimiento nos encontramos, se deben evaluar los riesgos sobre los activos que definen el entorno de cumplimiento y de- Tabla 2: clasificación y requerimientos de validación para comercios que la empresa pueda alinear los requerimientos PCI DSS con las buenas prácticas en seguridad de la información que define ISO17799 y que hoy día es el estándar adoptado por la mayoría de empresas para definir y gestionar su seguridad de la información. con PCI DSS, los recursos que se dediquen, el tamaño del entorno de cumplimiento, etc. Es en esta parte donde la empresa debe dedicar los recursos tanto económicos como personales necesarios para que los tiempos marcados en el programa de cumplimiento se alcancen y la empresa pueda conseguir el cumplimiento PCI DSS, reportando la documentación necesaria con el estado de cumplimiento a la entidad financiera (o directamente a la marca en algunos casos) que solicitó dicho cumplimiento, y ésta a su vez reportándolo a las marcas que sean oportunas. VALIDACIÓN Tabla 3: clasificación y requerimientos de validación para proveedores de servicio finir cómo se van a alcanzar los objetivos marcados por los requerimientos PCI DSS a través del Programa de Cumplimiento PCI DSS. Este programa define la estrategia a acometer por la organización para cumplir los requerimientos establecidos por PCI DSS, disminuir los riesgos identificados y alinear la inversión en seguridad con los objetivos y necesidades de la organización. Esta estrategia se concreta en una planificación de acciones o proyectos que facilita la información necesaria para decidir qué acciones abordar, así como su justificación en base al riesgo que disminuyen. Una buena práctica es utilizar como base para la elección de controles de seguridad a implementar, una norma de ámbito internacional como es la ISO/IEC 17799:2005 (futura ISO27002), de manera 94 A la hora de determinar cómo cumplir con los requerimientos PCI DSS podemos encontrarnos con impedimentos técnicos o de negocio que no permiten implementar el requerimiento tal y como se establece en el estándar. En estos casos se deben seleccionar controles compensatorios que hagan posible cumplir el objetivo del requerimiento, justificando por qué no es posible implementar el requerimiento tal y como se especifica, y los controles que se utilizarán en su lugar, así como posibles riesgos que se introduzcan. IMPLANTACIÓN La implantación es en donde se hace realidad el programa de cumplimiento PCI DSS. El tiempo de implantación dependerá mucho del trabajo que se haya identificado como necesario para cumplir La manera en que las empresas validan su cumplimiento con PCI DSS varía en función de varios parámetros: • Tipo de negocio (comercio o proveedor de servicios) • Volumen de negocio (total de transacciones anuales) • Canal (comercio-e por un lado y resto de canales por otro) • Riesgo del negocio (si han sufrido incidentes por hackers, etc.) Tanto Visa como Mastercard han definido tablas(tabla2) que clasifican los comercios y los proveedores de servicio por niveles, y en función de este nivel exigen ciertos requerimientos de validación. Los comercios de nivel 4 deben consultar a las entidades financieras para conocer si deben cumplir los requerimientos de validación. En el caso de los proveedores de servicios Visa y Mastercard definen 3 niveles de clasificación(tabla3), donde los 2 primeros exigen auditorías anuales on-site SEPTIEMBRE 2007 / Nº76 / SiC ESTÁNDARES por parte de un auditor QSA y escaneos trimestrales por parte de un ASV. ¿CÓMO CONSEGUIR AYUDA? producirse un incidente, la organización podrá demostrar que estaba operando bajo los requerimientos establecidos por PCI DSS al producirse el incidente. En resumen, contar con un programa que cumpla PCI DSS ayuda a: • Protegerse ante responsabilidades y costes potenciales vinculados a posibles casos de fraude con la información de tarjetas de crédito (p.e. en caso de una fuga de información o intrusión), costes de investigación en caso de incidente, costes legales, etc. • Reducir riesgos vinculados a los datos de tarjetas de crédito. • Gestionar y controlar la inversión en seguridad de la información. • Aumentar la confianza de los clientes: un cliente que paga con tarjeta sabe que sus datos están gestionados según un estándar de seguridad. • Crear una cultura de seguridad en la organización. El cumplimiento PCI DSS puede integrarse (o ser el comienzo) con el sistema de gestión de seguridad de la información (SGSI) de la organización a través de ISO27001 y pasar a ser una pieza más en el día a día de la gestión de seguridad del negocio. Las empresas que necesitan cumplir PCI DSS pueden solicitar ayuda por parte de empresas certificadas por el PCI SSC como: • QSA7, para asesorar en la implantación de los requerimientos PCI DSS, ayudar en la elaboración del cuestionario de autoevaluación y realizar las auditorías on-site de cumplimiento de los requerimientos PCI DSS. Tabla 4: Relación de controles ISO27001 y requerimientos PCI DSS. A fecha de redacción de este artículo existe una única empresa faltan detalles de implementación (granuen España con esta certificación9. laridad) que PCI DSS sí que especifica. Por • ASV8, para cumplir con el requeritanto, puede utilizarse ISO27001 para gesmiento de realizar auditorías de vulnerationar el cumplimiento de PCI DSS, pero a bilidades trimestralmente. la hora de implementar este cumplimiento se deberá analizar y seguir exactamente lo ISO27001 vs PCI DSS que PCI DSS especifica que debe hacerse para cumplir cada requerimiento. Como es sabido, la norma ISO/IEC Una alternativa podría ser definir el 27001:2005 define los requerimientos SGSI con un ámbito (scope) muy especípara el establecimiento, implementación, fico, y que sería el que afecta a la transoperación, monitorización, revisión, manmisión, almacenamiento y tratamiento de tenimiento y mejora de un SGSI (Sistema datos de tarjetas de crédito, el ámbito de de Gestión de Seguridad de la InformaPCI DSS. El objetivo de hacer esto sería ción). Es una norma certificable que se ha obtener la certificación ISO27001 dentro convertido en el estándar internacional en de este alcance concreto y aprovechar el gestión de seguridad de la información. trabajo realizado para cumplir PCI DSS Uno de los aspectos que remarca como base para reducir el tiempo y coste ISO27001 en su cláusula 4.2.1)b)2) es necesario de implantar ISO27001. que se deben tener en cuenta los requerimientos legales, regulatorios, de Conclusiones negocio y contractuales que deben ser cumplidos, por lo que podríamos encajar Cumplir PCI DSS no significa sólo PCI DSS como uno de los requerimientos MIGUEL ÁNGEL DOMÍNGUEZ TORRES acreditarse o cumplir con las auditorías a cumplir como parte del SGSI que opera Director de Consultoría periódicas, sino establecer un estado en en la organización. CISSP, CISA, PCI QSA, ISO27001 L.A. nuestro entorno de pago con tarjetas de Por otro lado, ISO27001 exige que las Experto Implantador SGSI, OPST crédito que cumpla con el estándar en INTERNET SECURITY AUDITORS medidas de seguridad que se implanten todo momento. De esta forma, en caso de mdominguez@isecauditors.com estén justificadas en base al riesgo que soporta la organización y en base al riesgo aceptable para ésta (apetito de riesgo), de manera que como resultado del análisis de REFERENCIAS riesgos se decidirán aquellos riesgos que 1 PCI SSC – https://www.pcisecuritystandards.org/ se quieren gestionar y se determinarán los 2 controles a implementar tomando como VISA Europa – http://www.visaeurope.com/aboutvisa/security/ais/aisprogramme.jsp base los del Anexo A (ISO17799), aunque 3 Mastercard SDP – http://www.mastercard.com/us/sdp/ pueden utilizarse otros si se considera 4 American Express – http://www125.americanexpress.com/merchant/oam/ns/USEng/FrontServlet?request_ conveniente. Los objetivos de control type=navigate&page=dataSecurityRequirements que PCI DSS establece son de obligado 5 JCB – http://www.jcb-global.com/english/pci/index.html cumplimiento y lo único que podemos 6 Discover – http://www.discovernetwork.com/merchant/resources/data/data_security.html hacer es utilizar controles compensatorios 7 Listado de empresas QSA certificadas – https://www.pcisecuritystandards.org/pdfs/pci_qsa_list.pdf en caso de no poder cumplir un objetivo 8 Listado de empresas ASV certificadas – https://www.pcisecuritystandards.org/pdfs/asv_report.html de control tal y como se especifica. 9 Aunque ISO27001 cubre los requeriQSA Español – Internet Security Auditors – http://www.isecauditors.com/es/noticias.html#qsa_asv mientos PCI DSS(tabla4), en algunos casos 96 SEPTIEMBRE 2007 / Nº76 / SiC