jueves, 4 de agosto de 2011

¿Quién tiene que cumplir PCI-DSS? ¿Cuáles son las obligaciones?


Esta es una pregunta recurrente a la que me enfrento por lo que he decidido hacer un pequeño resumen del estado del arte junto con mis propias opiniones/reflexiones.
De acuerdo a la normativa PCI-DSS, y cito textualmente: “PCI DSS applies to all entities involved in payment card processing – including merchants, processors, acquirers, issuers, and service providers, as well as all other entities that store, process or transmit cardholder data”. Esto significa que deben cumplir PCI-DSS los comercios, los procesadores, las entidades adquirentes y emisoras y los proveedores de servicio y en general cualquier entidad que almacene, procese o transmita datos de tarjeta.

Obligaciones de los comercios
Bueno y ¿qué implica cumplir PCI-DSS? En general, las marcas de tarjetas (VISA, MASTER, JCB, AMEX, DISCOVER) definen unos niveles de cumplimiento para los comercios, que son:
VISA
MASTER
JCB
AMEX

Para cada nivel de cumplimiento de los comercios, se establecen una serie de obligaciones. En general, se definen 4 niveles para el caso de los comercios, atendiendo principalmente al número de transacciones/año:

Comercios Nivel-1:
Implica la realización de una Auditoria anual por parte de un QSA que rellenaría un ROC (Report Of Compliance) que se enviaría a cada una de las marcas. En esta auditoria se realiza un estudio exhaustivo del estado de cumplimiento del comercio, así como diversos controles de seguridad (Escaneos de red trimestrales por un ASV, etc).
Se entiende como comercio de Nivel-1 a los que procesen el siguiente número de transacciones/año:
o Más de 6 millones de transacciones VISA, MASTER o DISCOVER.
o Más de 2,5 millones de transacciones AMEX
o Más de 1 millón de transacciones JCB

Adicionalmente, se consideran también comercios Nivel-1 a aquellos que han sufrido un ataque en el que se hayan puesto en compromiso datos de tarjeta o cualesquiera que una marca considere debe ser de Nivel-1.


Comercios Nivel-2:
Se entiende como comercio de Nivel-2 a los que procesen el siguiente número de transacciones/año:
o Entre 1 y 6 millones de transacciones VISA, MASTER o DISCOVER.
o Entre 50K y 2,5 millones de transacciones AMEX
o Menos de 1 millón de transacciones JCB
En este nivel, los comercios no están obligados a llevar a cabo una auditoria PCI-DSS anual; en su lugar, deben rellenar un formulario de autoevaluación conocido como SAQ (Self-Assessment Questionnarie). Sin embargo, las cosas no son tan fáciles; En el caso de MASTER, para Junio de 2012 será de obligado cumplimiento que si quieren presentar un SAQ, éste sea rellenado por un persona que tenga el certificado PCI SSC ISA (Internal Security Auditor) y para ello, deberá asistir a los cursos organizados por el Council. En caso contrario, deberá llevarse a cabo una Auditoria anual por parte de un QSA. Esto todavía se puede complicar más si resulta que un comercio que por número de transacciones no sea Nivel-2 en MASTER, pero sí lo sea para VISA, automáticamente se considera también Nivel-2 de MASTER. En fin…una maravilla.

Comercios Nivel-3:
Este nivel está específicamente diseñado para transacciones de e-commerce y además, no todas las marcas lo consideran. Se entiende como comercio de Nivel-3 a los que procesen el siguiente número de transacciones/año:
o Entre 20K y 1 millón de transacciones de comercio electrónico de VISA, MASTER o DISCOVER.
o Menos de 50K transacciones AMEX
Queda la duda de saber cómo se clasifican aquellos comercios que realicen menos de 1 millón de transacciones de e-commerce pero también realicen transacciones por otras canales y que la suma supere el millón de transacciones. ¿Sería Nivel-2 o Nivel-3? El comercio te diría sin dudar que Nivel-3.

Comercios Nivel-4:
Se trata del nivel menos restrictivo de todos. La única obligación en estos casos es rellenar el SAQ y se recomienda el realizar un escaneo trimestral de red, aunque se deja a consideración de la entidad adquirente el obligar o no a los comercios a llevarlo a cabo. Evidentemente, esto implica que ninguna entidad lo haga.

Otras cuestiones a considerar para los comercios
¿Cómo se determina el número de transacciones? En general, son las entidades adquirentes que trabajan con el comercio quienes deben ‘informar’ a las marcas del nivel del comercio en concreto. Pero claro, si los comercios trabajan con varias entidades adquirentes se complica un poco la catalogación.
Por otro lado, queda la duda de cómo considerar a ciertos comercios que actúan como una marca pero que contablemente actúan de forma aislada. Es el caso de comercios operando en formato de franquicias, aunque esto parece estar siendo considerado por VISA al introducir una nueva categoría de SP, el llamado ‘Corporate Franchise Servicer’ (CFS).

En resumen, a los comercios les conviene no ser considerados Nivel-1 puesto que el llevar a cabo una Auditoria es costoso en tiempo y económicamente hablando. VISA USA ha publicado una estadística de cumplimiento de PCI-DSS en la que indica que existen sólo 377 comercios de Nivel-1.

Proveedores de Servicio (SP)
¿Qué se entiende por SP? Los SP son organizaciones que prestan servicios a los comercios, entidades financieras y/o a otras entidades relacionados con el procesamiento de las transacciones. Los SP incluyen los Procesadores, los Third-Party processors y los Gateway providers, entre otros. En general, cualquier entidad que realice o proporcione servicios relacionados con los medios de pago a terceros. En este apartado también se encuentra Entidades Financieras que realizan determinados servicios: por ejemplo Clearing & Settlement, Autorizaciones en backup, etc a otras entidades financieras.

A priori, el caso de los Proveedores de Servicio (SP) es a priori más sencillo. Sólo existen dos niveles, aunque yo me atrevería a decir que sólo existe uno, el Nivel-1.

SP Nivel-1:
Se entiende como SP de Nivel-1 a los que procesen el siguiente número de transacciones/año:
o Más de 300K transacciones VISA, MASTER.
o Cualquier número de transacciones DISCOVER, AMEX o JCB
Implica la realización de una Auditoria anual por parte de un QSA generando el ROC (Report Of Compliance) que se envía a cada una de las marcas con las que opera y a la realización de escaneos de red trimestrales por parte de un ASV.

SP Nivel-2:
Se entiende como SP de Nivel-2 a los que procesen el siguiente número de transacciones/año:
o Menos de 300K transacciones VISA, MASTER.
En este nivel sólo es necesario rellenar el ROC y realizar escaneos de red trimestrales por parte de un ASV.


Entidades Adquirentes y Emisoras
¿Cuáles son las obligaciones de las Entidades? ¿Deben cumplir PCI-DSS?
Todas estas preguntas son habituales y la verdad es que las marcas no dan respuestas definitivas. Yo voy a intentar arrojar algo de luz.

En primer lugar, todas las Entidades (Adquirentes o Emisoras) están obligadas a cumplir PCI-DSS. Eso sí, las marcas no obligan a las entidades a pasar auditorias anuales. La única marca que realiza tal consideración es DISCOVER, que califica a las Entidades Adquirentes como ‘Proveedores de Servicio’ (SP). También existe una mención por parte de VISA USA en la que se indica que todos los Emisores miembros de VISA que estén conectados directamente a VISANET o que procesen en nombre de otro miembro de VISA debe validar de forma anual su cumplimiento con PCI-DSS, lo cual implica una Auditoria. Para el resto de casos, lo deja como una ‘best practice’. Eso sí, es un boletín informativo de VISA USA y no de VISA Europe.

También hay una mención muy interesante en cuanto a que una entidad financiera que use sus cajeros para la adquisición de bienes o servicios más allá de la operativa típica de un cajero, por ejemplo para comprar entradas de conciertos, etc, podría ser considerado un comercio a efectos de PCI-DSS.

Las entidades Adquirentes, por otro lado, son las responsables de situar a sus comercios en los respectivos niveles de cumplimiento de PCI-DSS que les corresponda y de informar a las marcas del nivel de cada comercio. Si se incurriera en o bien no informar a las marcas o bien hacerlo de forma incorrecta, las Entidades serían multadas por las marcas.

domingo, 17 de julio de 2011

Comencemos por el principio

Aunque se trata de un estándar de obligado cumplimiento en la industria de los medios de pago, PCI-DSS tiene dos problemas principales desde mi punto de vista: En primer lugar que el conocimiento que se tiene del estándar es generalmente muy pobre y en segundo lugar que se piensa que es muy difícil de cumplir. El objetivo de este blog es resolver estos problemas a la vez que complementamos con información adicional relativa a Guías y noticias que vayan apareciendo relacionadas con PCI.
En general, la línea a seguir en este blog es la de detallar un roadmap de cumplimiento de PCI-DSS de modo que seamos capaces de abordarlo de la forma más ágil posible. El objetivo final este blog es que sea una guía para poder cumplir PCI-DSS en un mes. Sí, en un mes. Adoptemos el ‘yes, we can’ de Obama y paso a paso veréis que es posible.

¿Cómo lo voy a hacer?
El estándar está formado por 12 requerimientos, y aunque crearé una entrada en el blog por cada uno de ellos, en esta entrada no voy siquiera a nombrarlos puesto que es fácil obtenerlos en cualquier sitio o cómo no, en la web oficial: https://www.pcisecuritystandards.org/

Tampoco voy a seguir el orden de los requerimientos, no. Voy a centrarme en los pasos que se deben dar en las organizaciones para cumplir los requerimientos, es decir, voy a generar un ‘roadmap’ de cumplimiento de PCI con el objetivo como he dicho, de cumplir PCI en un mes.

Suponiendo que la organización a cumplir PCI-DSS es o bien una entidad bancaria, un proveedor de servicio o se trata de grandes retailers el primer paso a dar es la creación de un Grupo Multidisciplinar, en el que se encuentren personal de Seguridad, de Sistemas, de Producción/Operaciones, de Desarrollo y como no, que esté apoyado por la gerencia de la organización porque todo empieza ahí. Como añadido incluiría un consultor con experiencia en el tema.
Ya está formado el grupo, ¿y ahora qué? La idea de crear este grupo es que cada cual se ocupe de la parcela para la cual es responsable directo, pero que a la vez, existan canales de comunicación puesto que existen tareas que necesitan la implicación de grupos heterogéneos. En esta primera reunión se deben asignar las tareas más importantes o que lleven más tiempo a cada responsable. Finalmente, el grupo debe reunirse (por favor, reuniones de sólo 1 hora como máximo) con periodicidad semanal como muy tarde. Si nuestro objetivo es cumplir PCI-DSS en 1 mes, la periodicidad podría llegar a ser diaria.

¿Cuáles son las primeras tareas a abordar? ¿Quién las debe realizar?

1. Creación/Publicación de una Política de Seguridad
Aunque se trata del último requerimiento de PCI-DSS, para mi tiene una importancia capital. Se debe definir (y por supuesto, documentar) una política de seguridad de la información que está APROBADA por la gerencia de modo que sea de obligado cumplimiento por toda la organización. Detallaremos cómo llevarla cabo en próximas entradas.

2. Testar/Monitorizar redes y aplicaciones que sean accesibles desde Internet.
Para esta labor, NO es necesario en un principio que se trate de una empresa que tenga la certificación de ASV (Approved Scanning Vendors). La idea aquí es tener una primera idea de donde estamos, a qué nos enfrentamos y empezar a resolver problemas.

3. Inventario de equipos, sistemas y diagramas de red
En esta tarea personal de sistemas deberá detallar la infraestructura de red, inventariar los equipos(si es que no se ha hecho ya) y los dispositivos de la red( firewalls, routers, etc) y sobre todo, determinar segmentos de red en los que se puedan encontrar datos de tarjeta. Esto se obtendrá, evidentemente, conjuntamente con la siguiente tarea.

4. Inventario de aplicaciones o sistemas que hacen uso de datos de tarjeta
Personal de desarrollo, operaciones y eventualmente sistemas deberán determinar las aplicaciones o sistemas por los que se transmiten, se trabajan o se almacenan datos de tarjeta e indicar también dónde se ejecutan dichas aplicaciones. Si se trata de un entorno virtualizado no nos debe preocupar en un principio, ya crearé una entrada específica para estos casos.

5. Inventario de almacenes de datos que contienen datos de tarjeta
Personal de desarrollo, operaciones y eventualmente sistemas deberán determinar dónde se almacenan datos de tarjeta y cómo se almacenan (en claro o protegidos de alguna manera). Hay que considerar que

6. Evaluar solución corporativa de antivirus, malware, etc.
Este es el requerimiento 5 de PCI-DSS. La cuestión clave ya no es el tener una solución antivirus, puesto que toda organización medianamente decente la tiene, sino que el antivirus también tenga protección malware, que alerte a los administradores cuando un virus sea localizado y que se registren logs de auditoría de todas estas acciones, si es posible, que dicho log puede ser accesible a través de una consola centralizada.

En una primera aproximación, estas tareas son las más adecuadas. En próximas entradas veremos las siguientes tareas a abordar y donde sea posible, recomendaré herramientas a utilizar para ayudar en el proceso.

En cuanto a las tareas ya expuestas, las herramientas recomendadas son:
• Edición de textos: Word(comercial) / Open Office Writer(gratuita)
• Listas/Hojas de cálculo: Excel (comercial) / Open Office Calc(gratuita)
• Diagramas: Visio (comercial)
• Antivirus: Panda (comercial)


Como resumen, vemos que en un primer momento, el trabajo es más de investigación y documentación que el de instalar herramienta y crear procedimientos.