Aunque se trata de un estándar de obligado cumplimiento en la industria de los medios de pago, PCI-DSS tiene dos problemas principales desde mi punto de vista: En primer lugar que el conocimiento que se tiene del estándar es generalmente muy pobre y en segundo lugar que se piensa que es muy difícil de cumplir. El objetivo de este blog es resolver estos problemas a la vez que complementamos con información adicional relativa a Guías y noticias que vayan apareciendo relacionadas con PCI.
En general, la línea a seguir en este blog es la de detallar un roadmap de cumplimiento de PCI-DSS de modo que seamos capaces de abordarlo de la forma más ágil posible. El objetivo final este blog es que sea una guía para poder cumplir PCI-DSS en un mes. Sí, en un mes. Adoptemos el ‘yes, we can’ de Obama y paso a paso veréis que es posible.
¿Cómo lo voy a hacer?
El estándar está formado por 12 requerimientos, y aunque crearé una entrada en el blog por cada uno de ellos, en esta entrada no voy siquiera a nombrarlos puesto que es fácil obtenerlos en cualquier sitio o cómo no, en la web oficial: https://www.pcisecuritystandards.org/
Tampoco voy a seguir el orden de los requerimientos, no. Voy a centrarme en los pasos que se deben dar en las organizaciones para cumplir los requerimientos, es decir, voy a generar un ‘roadmap’ de cumplimiento de PCI con el objetivo como he dicho, de cumplir PCI en un mes.
Suponiendo que la organización a cumplir PCI-DSS es o bien una entidad bancaria, un proveedor de servicio o se trata de grandes retailers el primer paso a dar es la creación de un Grupo Multidisciplinar, en el que se encuentren personal de Seguridad, de Sistemas, de Producción/Operaciones, de Desarrollo y como no, que esté apoyado por la gerencia de la organización porque todo empieza ahí. Como añadido incluiría un consultor con experiencia en el tema.
Ya está formado el grupo, ¿y ahora qué? La idea de crear este grupo es que cada cual se ocupe de la parcela para la cual es responsable directo, pero que a la vez, existan canales de comunicación puesto que existen tareas que necesitan la implicación de grupos heterogéneos. En esta primera reunión se deben asignar las tareas más importantes o que lleven más tiempo a cada responsable. Finalmente, el grupo debe reunirse (por favor, reuniones de sólo 1 hora como máximo) con periodicidad semanal como muy tarde. Si nuestro objetivo es cumplir PCI-DSS en 1 mes, la periodicidad podría llegar a ser diaria.
¿Cuáles son las primeras tareas a abordar? ¿Quién las debe realizar?
1. Creación/Publicación de una Política de Seguridad
Aunque se trata del último requerimiento de PCI-DSS, para mi tiene una importancia capital. Se debe definir (y por supuesto, documentar) una política de seguridad de la información que está APROBADA por la gerencia de modo que sea de obligado cumplimiento por toda la organización. Detallaremos cómo llevarla cabo en próximas entradas.
2. Testar/Monitorizar redes y aplicaciones que sean accesibles desde Internet.
Para esta labor, NO es necesario en un principio que se trate de una empresa que tenga la certificación de ASV (Approved Scanning Vendors). La idea aquí es tener una primera idea de donde estamos, a qué nos enfrentamos y empezar a resolver problemas.
3. Inventario de equipos, sistemas y diagramas de red
En esta tarea personal de sistemas deberá detallar la infraestructura de red, inventariar los equipos(si es que no se ha hecho ya) y los dispositivos de la red( firewalls, routers, etc) y sobre todo, determinar segmentos de red en los que se puedan encontrar datos de tarjeta. Esto se obtendrá, evidentemente, conjuntamente con la siguiente tarea.
4. Inventario de aplicaciones o sistemas que hacen uso de datos de tarjeta
Personal de desarrollo, operaciones y eventualmente sistemas deberán determinar las aplicaciones o sistemas por los que se transmiten, se trabajan o se almacenan datos de tarjeta e indicar también dónde se ejecutan dichas aplicaciones. Si se trata de un entorno virtualizado no nos debe preocupar en un principio, ya crearé una entrada específica para estos casos.
5. Inventario de almacenes de datos que contienen datos de tarjeta
Personal de desarrollo, operaciones y eventualmente sistemas deberán determinar dónde se almacenan datos de tarjeta y cómo se almacenan (en claro o protegidos de alguna manera). Hay que considerar que
6. Evaluar solución corporativa de antivirus, malware, etc.
Este es el requerimiento 5 de PCI-DSS. La cuestión clave ya no es el tener una solución antivirus, puesto que toda organización medianamente decente la tiene, sino que el antivirus también tenga protección malware, que alerte a los administradores cuando un virus sea localizado y que se registren logs de auditoría de todas estas acciones, si es posible, que dicho log puede ser accesible a través de una consola centralizada.
En una primera aproximación, estas tareas son las más adecuadas. En próximas entradas veremos las siguientes tareas a abordar y donde sea posible, recomendaré herramientas a utilizar para ayudar en el proceso.
En cuanto a las tareas ya expuestas, las herramientas recomendadas son:
• Edición de textos: Word(comercial) / Open Office Writer(gratuita)
• Listas/Hojas de cálculo: Excel (comercial) / Open Office Calc(gratuita)
• Diagramas: Visio (comercial)
• Antivirus: Panda (comercial)
Como resumen, vemos que en un primer momento, el trabajo es más de investigación y documentación que el de instalar herramienta y crear procedimientos.
