Segmentación de red y cumplimiento de PCI

El punto de partida al formular el alcance del viaje de cumplimiento del estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) comienza con la segmentación de la red. Esto implica simplemente crear controles que se centren en las necesidades de seguridad de sus datos.

Para cumplir con los estándares de segmentación de red PCI, primero debe comprender los objetivos y el propósito del estándar.

¿Qué es el entorno de datos del titular de la tarjeta (CDE)?

PCI DSS describe los datos del titular de la tarjeta (CHD) como cualquier dato de identificación personal, que está asociado con la tarjeta de débito o crédito de un individuo. Esta definición también incluye los números de cuenta principal (PAN), así como el código de servicio, el nombre del titular de la tarjeta, la fecha de vencimiento y cualquier otro dato confidencial de autenticación de la tarjeta. En pocas palabras, CDH comprende cualquier información que pueda usarse para realizar cargos fraudulentos a la tarjeta de una persona o robar una identidad.

El entorno de datos del titular de la tarjeta comprende computadoras o sistemas de red que están involucrados en el procesamiento, almacenamiento o transmisión de esta información. CDH incluye componentes del sistema relacionados, como servidores, dispositivos de red, dispositivos informáticos y aplicaciones. Estos pueden ser componentes virtuales, servicios de seguridad, componentes de red, aplicaciones, tipos de servidores y cualquier otra cosa que esté conectada al CDE. Si los sistemas o los empleados pueden acceder a CHD, esto debe separarse de los otros aspectos de su empresa.

PCI DSS y segmentación de red

La segmentación de la red implica observar la forma en que se transmite la información a través de sus sistemas. Debería ver su CDE como un río y los datos del titular de la tarjeta como una canoa que navega por los rápidos. Los ríos suelen tener múltiples puntos de acceso para los barcos. Asimismo, su red tiene varios puntos de acceso a datos. Son como ríos, que tienen afluentes conectados a ellos. Siempre que su CHD pueda flotar por un camino dentro de su red, existe la necesidad de construir una presa o proteger ese afluente.

Por ejemplo, PCI DSS define la conectividad como inalámbrica, virtualizada y física. En cualquier punto río abajo, CHD puede entrar. La conectividad inalámbrica puede incluir conexiones Bluetooth y LAN. La conectividad física puede ser unidades USB. La conectividad virtualizada normalmente incorporaba recursos compartidos, incluidas máquinas virtuales y cortafuegos virtuales. Se recomienda que asegure estos puntos de acceso a datos para que CHD no se vea comprometido.

Cómo las empresas alcanzan los sistemas

El alcance de PCI DSS debe implicar la evaluación crítica de todos los puntos de acceso a datos y afluentes que se encuentran en su río CDE. La evaluación de PCI DSS comienza con la clasificación de cómo y dónde se recibe CHD. Mientras camina arriba y abajo de la orilla del río CDE, debe identificar todos los canales de pago, así como los métodos para aceptar los datos del titular de la tarjeta. A partir de entonces, siga el viaje de la información desde la recopilación hasta la destrucción, eliminación y transferencia.

También debe identificar y marcar nuestros lugares en su CDE donde se almacenan, procesan o transmiten los datos. Esta identificación puede incluir comprender no solo quién maneja los datos, sino también cómo se procesa la información. También debe documentar los procesos y las tecnologías que ha implementado para proteger su entorno de datos.

Después de rastrear el flujo de información a través de su red, asegúrese de incorporar todos los procesos, personas y componentes del sistema que influyen en el CDE. Este es un paso crucial, que se diferencia del anterior en que requiere mirar más allá de quienes interactúan con CHD. En su lugar, debe centrarse en las personas y los componentes del sistema que impulsan su entorno de datos.

Una vez que se haya revisado su río de datos, debe crear controles para proteger la información. Esta es la misma forma en que la mayoría de los ríos cuentan con desembarcaderos, que están destinados a evitar que los navegantes entren en ciertos puntos. Para poner esto en perspectiva, los controles son esenciales. Del mismo modo, debe encontrar una manera de limitar dónde puede ir la información crucial y quién puede tener acceso a ella.

Para hacer esto, es necesario configurar la versión de seguridad de datos de dams. Esto puede incluir la configuración de métodos de encriptación y firewalls. Una vez que haya establecido el control, existe la necesidad de aplicarlo para proteger sus procesos, los componentes del sistema y el personal. Lo que es más importante, debe monitorear los controles para asegurarse de que cualquier cambio que realice evolucione junto con su CDE.

¿Hay algún sistema fuera del alcance?

Los sistemas fuera del alcance están definidos por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) como aquellos sin acceso a los sistemas CDE. En particular, los sistemas fuera del alcance se han vuelto raros. PCI SSC estipula que el componente del sistema no debe almacenar, procesar o incluso transmitir CHD. Del mismo modo, no debe estar conectado a ningún segmento de red que toque CHD.

Los terceros y los proveedores de servicios están dentro del alcance de su cumplimiento de estándares de seguridad PCI. Son similares a los guardabosques de tu río. Al ser sus socios comerciales, le brindan servicios remotos. Dado que interactúan continuamente con su entorno de datos, pueden presentar riesgos que pueden comprometer la CHD. Esto destaca la importancia de participar en el monitoreo de terceros, así como en la gestión de su ecosistema de proveedores.

Nota del editor: Ken Lynch es un veterano de la puesta en marcha de software empresarial, que siempre ha estado fascinado por lo que impulsa a los trabajadores a trabajar y cómo hacer que el trabajo sea más atractivo. Ken fundó Reciprocity para perseguir precisamente eso. Ha impulsado el éxito de Reciprocity con este objetivo basado en la misión de involucrar a los empleados con los objetivos de gobierno corporativo, riesgo y cumplimiento de su empresa para crear ciudadanos corporativos más socialmente conscientes. Ken obtuvo su licenciatura en Ciencias de la Computación e Ingeniería Eléctrica del MIT. Obtenga más información en ReciprocityLabs.com.

¿Tiene alguna idea sobre esto? Háganos saber a continuación en los comentarios o lleve la discusión a nuestro Twitter o Facebook.

Recomendaciones de los editores:

• Gestión de registros PCI DSS
• Alcance de una auditoría SOC2
• Requisitos de auditoría: empresas privadas estadounidenses
• Plan de gestión de riesgos – ¿Para qué sirve?
• Estrategia de análisis de datos de eficacia de auditoría interna