Documentos de Académico
Documentos de Profesional
Documentos de Cultura
C
omo resultado, se han ware que procesen datos de tarjetas
publicado tres diferentes de pago.
estándares, orientados a
garantizar la seguridad en • PIN-Entry Device requirements
el procesamiento, almacenamiento y (PED), enfocado a empresas que de-
transmisión de información confiden- sarrollan dispositivos para la captura
de PIN (Personal Identification Num-
cial asociada con tarjetas:
ber).
• Data Security Standard (DSS), di-
Cada uno de estos estándares es de
rigido a entidades bancarias, comer-
obligatorio cumplimiento para las en-
ciantes y proveedores de servicios tidades a las cuales les apliquen. Para
implicados en el procesamiento, efectos prácticos, nos centraremos en
almacenamiento y/o transmisión de el primer estándar: PCI DSS, que se
datos de tarjetas de pago. puede descargar libremente desde el
sitio web del Council. PCI DSS ver-
• Payment Application Data Securi- sión 1.2 fue publicado en Octubre de
ty Standard (PA-DSS), orientado a 2008 y actualmente se encuentra en
vendedores y desarrolladores de soft- fase de despliegue. Es importante co-
66 Sistemas
mentar que el objetivo final del PCI Requisito 2: No usar contraseñas del
SSC es lograr que cualquier ente que sistema y otros parámetros de seguri-
procese, almacene o transmita datos dad provistos por los proveedores.
de tarjetas cumpla con DSS.
Proteger los datos de los
DSS fue desarrollado para definir una tarjetahabientes
serie de controles homogéneos que
le permitieran a las organizaciones Requisito 3: Proteger los datos de los
afectadas, implementar contramedi- tarjetahabientes que estén almacena-
das de forma sistemática y auditable, dos.
además de facilitar la adopción de di-
chos controles a nivel mundial, para Requisito 4: Cifrar los datos de los
la protección de los datos del tarjeta- tarjetahabientes transmitidos a través
habiente (Personal Account Number de redes públicas abiertas.
(PAN), nombre del titular, código de
Mantener un programa de gestión
servicio y fecha de vencimiento de la
de vulnerabilidad
tarjeta). Así mismo, DSS se enfoca en
garantizar cuáles datos confidencia-
Requisito 5: Utilizar software antivi-
les, como la información de la banda
rus y actualizarlo regularmente.
magnética, los códigos de validación
(CVC2/CVV2/CID) y el PIN/PIN- Requisito 6: Desarrollar y mantener
BLOCK, no sean almacenados bajo sistemas y aplicaciones seguras.
ninguna circunstancia, con el fin de
reducir el fraude relacionado con tar- Implementar medidas sólidas de
jetas de pago. control de acceso
68 Sistemas
Para efectos de auditoría y evalua- los recursos de la red y datos de los
ción, PCI SSC homologa empresas tarjetahabientes”, orientado hacia la
como Qualified Security Assessors definición de mecanismos de registro
(QSAs), personas encargadas de rea- y su gestión. Es precisamente hacia
lizar una revisión del sistema y repor- allí hacia donde enfocaremos el pre-
tar al ente solicitante los resultados sente artículo.
del análisis y Approved Scanning
Vendor (ASV); empresas dedicadas a En dicho requisito se especifican las
realizar escaneos de seguridad exter- directrices y procedimientos de au-
nos. Dependiendo del nivel de tran- ditoría para garantizar que se cuenta
sacciones con tarjetas de pago que la con los siguientes controles definidos,
organización realice anualmente, se implementados y en ejecución:
deben realizar escaneos de seguridad
trimestrales por un ASV, estar sujetos Procesos de vinculación de todos los
a auditoría anual por parte de un QSA accesos de cada usuario a los com-
o diligenciar un Self-Assessment ponentes del sistema: mediante este
Questionnaire (SAQ) [2], para garan- control se pretende garantizar que
tizar que los controles se encuentran cada acceso al sistema, corresponde a
satisfactoriamente desplegados y son un usuario plenamente identificable y
monitoreados en forma continua. rastreable, especialmente aquellos de
tipo administrativo. Obviamente, este
Controles de PCI DSS orientados al control depende de que anteriormente
monitoreo y gestión de eventos se haya ejecutado una labor de aso-
ciación inequívoca de una cuenta de
PCI DSS fue creado para proteger la
confidencialidad, integridad y traza-
bilidad de los datos relacionados con
tarjetas de pago. De allí, la importan-
cia en contar con una buena gestión de
eventos y registros que permita preve-
nir, detectar, contener, corregir y eva-
luar cualquier amenaza que afecte a
dicha información y soporte cualquier
proceso investigativo y/o actividad
legal posterior a un incidente.
74 Sistemas
publicado una guía denominada “PCI miento de datos, redes y aplicaciones,
Prioritized Approach for DSS 1.2” por lo que es primordial identificar
[4], para definir el enfoque de priori- cuándo se deben aplicar estos contro-
dades en todos los requerimientos de les para no incurrir en errores.
DSS. Dicha guía y su hoja de cálculo
de soporte pueden ser descargadas Es importante resaltar que una enti-
libremente. En esta guía se definen 6 dad que haya implementado los con-
hitos organizados de acuerdo con la troles de ISO/IEC 27002:2005 -sobre
prioridad de implementación. Cada todo el control 10.10 “Supervisión”–,
hito abarca una serie de controles y puede estar en capacidad de lograr
son presentados a manera de reco- una adopción sencilla de los requeri-
mendación, ya que cada organización mientos de monitoreo de PCI DSS.
puede definir sus propias prioridades
conforme con el escenario de cumpli- Gestión de eventos en PCI DSS: un
miento. Dichos hitos son: ejemplo de implementación
Sistemas 79