Que es PCI DSS ?
Esta norma impulsada por American Express, Discover Financial Services, JCB, MasterCard Worldwide, y Visa International fue creada para proteger los datos de los posedores de tarjetas y por ende reducir el numero de fraudes.
Algunos ejemplos recientes de robos de datos de tarjetas de credito :
Major Credit Card Scam in Ireland
Forever 21: Nearly 99,000 cards compromised in data thefts
Que organizacion tiene a cargo esta norma ?
PCI Security Standards Council es la entidad encargada del desarrollo, administracion y divulgacion de los standares de seguridad PCI.
https://www.pcisecuritystandards.org/
Quienes deben cumplir esta norma ?
Pay Cardment Industry Data Security Standard es una norma de seguridad de datos que deben cumplir toda institucion que trasmita, almacene o procese datos de poseedores de tarjetas de credito.
En el siguiente grafico se pueden ver la relacion entre todos los actores que participan en el negocio de las tarjetas.
Dependiendo de la cantidad de operaciones anuales es el nivel otorgado a cada organizacion.
Para las empresas que acepten tarjetas de creditos :
Nivel 1
Empresas que procesen anualmente mas de 6 millones de transacciones de Visa o MasterCard.
Empresas que procesen anualmente mas de 2.5 millones de transacciones de American Express
Nivel 2
Empresas que procesen anualmente entre 1 millon y 6 millones de transacciones de Visa o mas de 150 mil transacciones MasterCard.
Empresas que procesen anualmente entre 50 mil y 2.5 millones de transacciones de American Express
Nivel 3
Empresas que procesen anualmente entre 20 mil y 1 millon de transacciones de Visa o mas de 20 mil de MasterCard.
Empresas que procesen anualmente menos de 50 mil transacciones de American Express
Nivel 4
Todas las empresas que tengan menos transacciones de Visa y Mastercard que los niveles anteriores.
Para las empresas que almacenen, procesen o transmitan datos de tarjetas de creditos
Dependiendo del nivel es el tipo de auditoria que tendran que pasar para estar certificados como PCI compliance.
Estas auditorias van desde una auto-validacion en el caso de quienes tienen pocas transacciones anuales, hasta una auditoria anual on-site realizada por un Qualified Security Assessor.
En caso de no cumplir con la norma se deben pagar multas que pueden llegar a los U$S 25000 mensuales para empresas de nivel 1.
Cuales son los datos a proteger ?
En las siguientes imagenes se muestra la ubicación de los Datos de los Tarjetahabientes y Datos Confidenciales de Autenticación
Los datos confidenciales de autenticación son los datos de la banda magnética (o datos de la pista), el código o valor de validación de la tarjeta4, y los datos del PIN. Está prohibido guardar datos confidenciales de autenticación. Estos datos son muy valiosos para los delincuentes que roban datos de los computadores porque les permiten generar tarjetas de pago falsas y realizar transacciones fraudulentas. Las siguientes ilustraciones del reverso y anverso de una tarjeta de crédito muestran dónde aparecen los datos del tarjetahabiente y los datos confidenciales de autenticación en el plástico.
Datos de la Pista 1 y Pista 2
Si se guardan los datos completos de la pista (de la Pista 1 o de la Pista 2) los delincuentes que obtengan esos datos podrán reproducir y vender tarjetas de pago en el mundo entero. El almacenaje de los datos completos de la pista también constituye una violación de los reglamentos operativos de las marcas de pago y puede dar lugar a multas y penalidades.
La ilustración que aparece a continuación brinda información sobre los datos de la Pista 1 y la Pista 2, describiendo las diferencias y mostrando el formato de los datos contenidos en la banda
magnética.
Cuales son las normas ?
Desarrollar y Mantener una Red Segura
Requisito 1: Instalar y mantener una configuración de cortafuegos para proteger los datos de los tarjetahabientes.
Requisito 2: No usar contraseñas del sistema y otros parámetros de seguridad provistos por los suplidores.
Proteger los Datos de los Tarjetahabientes
Requisito 3: Proteger los datos de los tarjetahabientes que estén almacenados.
Requisito 4: Encriptar los datos de los tarjetahabientes e información confidencial transmitida a través de redes públicas abiertas.
Mantener un Programa de Manejo de Vulnerabilidad
Requisito 5: Usar y actualizar regularmente el software o programas antivirus.
Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguros.
Implementar Medidas Sólidas de Control de Acceso
Requisito 7: Restringir el acceso a los datos tomando como base la necesidad del funcionario de conocer la información.
Requisito 8: Asignar una Identificación única a cada persona que tenga acceso a un computador.
Requisito 9: Restringir el acceso físico a los datos de los tarjetahabientes.
Monitorear y Probar Regularmente las Redes
Requisito 10: Rastrear y monitorear todo el acceso a los recursos de la red y datos de los tarjetahabientes.
Requisito 11: Probar regularmente los sistemas y procesos de seguridad.
Mantener una Política de Seguridad de la Información
Requisito 12: Mantener una política que contemple la seguridad de la información.
Donde se aplican estas normas ?
Los requisitos de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago se aplican a todos los componentes de sistemas que están incluidos en el ambiente de datos de los tarjetahabientes o conectados al mismo. El ambiente de datos de los tarjetahabientes es la parte de la red que posee los datos de los tarjetahabientes o los datos confidenciales de autenticación, incluyendo los componentes de red, los servidores y las aplicaciones.
Esta norma impulsada por American Express, Discover Financial Services, JCB, MasterCard Worldwide, y Visa International fue creada para proteger los datos de los posedores de tarjetas y por ende reducir el numero de fraudes.
Algunos ejemplos recientes de robos de datos de tarjetas de credito :
Major Credit Card Scam in Ireland
Forever 21: Nearly 99,000 cards compromised in data thefts
Que organizacion tiene a cargo esta norma ?
PCI Security Standards Council es la entidad encargada del desarrollo, administracion y divulgacion de los standares de seguridad PCI.
https://www.pcisecuritystandards.org/
Quienes deben cumplir esta norma ?
Pay Cardment Industry Data Security Standard es una norma de seguridad de datos que deben cumplir toda institucion que trasmita, almacene o procese datos de poseedores de tarjetas de credito.
En el siguiente grafico se pueden ver la relacion entre todos los actores que participan en el negocio de las tarjetas.
Dependiendo de la cantidad de operaciones anuales es el nivel otorgado a cada organizacion.
Para las empresas que acepten tarjetas de creditos :
Nivel 1
Empresas que procesen anualmente mas de 6 millones de transacciones de Visa o MasterCard.
Empresas que procesen anualmente mas de 2.5 millones de transacciones de American Express
Nivel 2
Empresas que procesen anualmente entre 1 millon y 6 millones de transacciones de Visa o mas de 150 mil transacciones MasterCard.
Empresas que procesen anualmente entre 50 mil y 2.5 millones de transacciones de American Express
Nivel 3
Empresas que procesen anualmente entre 20 mil y 1 millon de transacciones de Visa o mas de 20 mil de MasterCard.
Empresas que procesen anualmente menos de 50 mil transacciones de American Express
Nivel 4
Todas las empresas que tengan menos transacciones de Visa y Mastercard que los niveles anteriores.
Para las empresas que almacenen, procesen o transmitan datos de tarjetas de creditos
Dependiendo del nivel es el tipo de auditoria que tendran que pasar para estar certificados como PCI compliance.
Estas auditorias van desde una auto-validacion en el caso de quienes tienen pocas transacciones anuales, hasta una auditoria anual on-site realizada por un Qualified Security Assessor.
En caso de no cumplir con la norma se deben pagar multas que pueden llegar a los U$S 25000 mensuales para empresas de nivel 1.
Cuales son los datos a proteger ?
En las siguientes imagenes se muestra la ubicación de los Datos de los Tarjetahabientes y Datos Confidenciales de Autenticación
Los datos confidenciales de autenticación son los datos de la banda magnética (o datos de la pista), el código o valor de validación de la tarjeta4, y los datos del PIN. Está prohibido guardar datos confidenciales de autenticación. Estos datos son muy valiosos para los delincuentes que roban datos de los computadores porque les permiten generar tarjetas de pago falsas y realizar transacciones fraudulentas. Las siguientes ilustraciones del reverso y anverso de una tarjeta de crédito muestran dónde aparecen los datos del tarjetahabiente y los datos confidenciales de autenticación en el plástico.
Datos de la Pista 1 y Pista 2
Si se guardan los datos completos de la pista (de la Pista 1 o de la Pista 2) los delincuentes que obtengan esos datos podrán reproducir y vender tarjetas de pago en el mundo entero. El almacenaje de los datos completos de la pista también constituye una violación de los reglamentos operativos de las marcas de pago y puede dar lugar a multas y penalidades.
La ilustración que aparece a continuación brinda información sobre los datos de la Pista 1 y la Pista 2, describiendo las diferencias y mostrando el formato de los datos contenidos en la banda
magnética.
Cuales son las normas ?
Desarrollar y Mantener una Red Segura
Requisito 1: Instalar y mantener una configuración de cortafuegos para proteger los datos de los tarjetahabientes.
Requisito 2: No usar contraseñas del sistema y otros parámetros de seguridad provistos por los suplidores.
Proteger los Datos de los Tarjetahabientes
Requisito 3: Proteger los datos de los tarjetahabientes que estén almacenados.
Requisito 4: Encriptar los datos de los tarjetahabientes e información confidencial transmitida a través de redes públicas abiertas.
Mantener un Programa de Manejo de Vulnerabilidad
Requisito 5: Usar y actualizar regularmente el software o programas antivirus.
Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguros.
Implementar Medidas Sólidas de Control de Acceso
Requisito 7: Restringir el acceso a los datos tomando como base la necesidad del funcionario de conocer la información.
Requisito 8: Asignar una Identificación única a cada persona que tenga acceso a un computador.
Requisito 9: Restringir el acceso físico a los datos de los tarjetahabientes.
Monitorear y Probar Regularmente las Redes
Requisito 10: Rastrear y monitorear todo el acceso a los recursos de la red y datos de los tarjetahabientes.
Requisito 11: Probar regularmente los sistemas y procesos de seguridad.
Mantener una Política de Seguridad de la Información
Requisito 12: Mantener una política que contemple la seguridad de la información.
Donde se aplican estas normas ?
Los requisitos de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago se aplican a todos los componentes de sistemas que están incluidos en el ambiente de datos de los tarjetahabientes o conectados al mismo. El ambiente de datos de los tarjetahabientes es la parte de la red que posee los datos de los tarjetahabientes o los datos confidenciales de autenticación, incluyendo los componentes de red, los servidores y las aplicaciones.
- Los componentes de red pueden incluir, sin limitación, cortafuegos, switches, ruteadores, puntos de acceso inalámbrico, aparatos conectados a la red y otros aparatos y dispositivos de seguridad.
- Los tipos de servidores incluyen, sin limitación, los siguientes: Web, base de datos, autenticación, correo, proxy, Network Time Protocol (NTP) y servidores de nombre de dominio (DNS).
- Las aplicaciones incluyen, sin limitación, todas las aplicaciones adquiridas comercialmente o individualmente desarrolladas, incluyendo aplicaciones internas y externas (Internet).
Si bien estas normas no son tan completas como el standard ISO/27000 y estan orientadas a una industria en particular, las best practices que establece pueden ser aplicadas a otras empresas.
Otro punto que vale destacar, PCI si no se cumple tiene una multa, por lo tanto esta mas implementada en gral que las normas ISO las cuales no tienen ningun tipo de obligacion de aplicarse.
Un paper muy interesante hablando sobre la diferencias y similitudes de estas dos normas se encuentran en este PDF de Steve Wright
No comments:
Post a Comment