Lo que debe saber sobre las pruebas de penetración PCI DSS

Si su empresa acepta pagos con tarjeta de crédito, debe asegurarse de cumplir con el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) para proteger los datos del titular de la tarjeta. PCI DSS tiene muchas facetas, siendo las pruebas de penetración las más desafiantes para las empresas.

Para garantizar que su negocio cumpla con PCI DSS, se deben realizar pruebas de penetración de vez en cuando para determinar si sus sistemas y procesos están configurados adecuadamente para mantener seguros los datos de los titulares de tarjetas.

Prueba de penetración PCI DSS

Hay tres tipos principales de pruebas de penetración: caja negra, caja blanca y caja gris.

• La evaluación de la penetración de la caja negra no proporciona ninguna información antes de que comiencen las pruebas
• La evaluación de caja blanca proporciona detalles de la aplicación y la red durante la prueba
• La evaluación de caja gris proporciona información parcial sobre los sistemas de destino

Las evaluaciones de caja blanca y caja gris ofrecen la mejor perspectiva sobre el estado de seguridad de su entorno de datos del titular de la tarjeta (CDE). Las pruebas son menos costosas, requieren menos recursos y están más simplificadas.

Diferencia entre las pruebas de penetración y el análisis de vulnerabilidades

La prueba de penetración no es lo mismo que el escaneo de vulnerabilidades.

El objetivo de un análisis de vulnerabilidades es identificar, evaluar y reportar las debilidades que pueden comprometer sus sistemas. En general, las empresas deben realizar evaluaciones de vulnerabilidad cada trimestre o después de realizar cambios significativos en el entorno de datos del titular de la tarjeta. Los escaneos de vulnerabilidades a menudo se llevan a cabo utilizando herramientas automatizadas y luego se siguen mediante procesos de verificación manual.

Por otro lado, el objetivo de una prueba de penetración es explotar un sistema buscando fallas de seguridad. La prueba de penetración es un proceso deliberado de intentar romper la seguridad de CDE o del sistema de red. El proceso lleva más tiempo, es más manual y proporciona una descripción completa del estado de seguridad del sistema de red. Las pruebas de penetración deben realizarse anualmente en lugar de trimestralmente.

El alcance del entorno de datos del titular de la tarjeta (CDE)

PCI DSS define el entorno de datos del titular de la tarjeta como la tecnología, las personas y los procesos involucrados en la transmisión, el procesamiento y el almacenamiento de información confidencial de la tarjeta de crédito. Las pruebas de penetración deben cubrir todos los sistemas y procesos que manejan datos de titulares de tarjetas.

La primera prueba de penetración es evaluar la accesibilidad de las redes públicas de su organización. La evaluación debe realizarse en todos los sistemas y procesos que tienen acceso a datos restringidos del titular de la tarjeta. A continuación, se deben evaluar los sistemas de organización interna que tienen acceso a información sensible de tarjetas de crédito.

Las pruebas de penetración no solo deben cubrir los sistemas sino también los procesos que acceden a la red de la empresa. Si parte de los datos del titular de la tarjeta se almacenan fuera del entorno de CDE, los sistemas deben probarse para garantizar que no tengan vulnerabilidades que puedan hacer que los sistemas internos sean propensos a la infiltración de usuarios no autorizados.

Finalmente, cualquier sistema "fuera del alcance" que se utilice para almacenar, transmitir o procesar datos de titulares de tarjetas también debe probarse para garantizar que sea seguro.

Evaluación de sistemas críticos

De acuerdo con PCI DSS, los sistemas críticos se refieren a la infraestructura, el hardware y los procesos que manejan los datos del titular de la tarjeta. Los sistemas pueden ser dispositivos públicos, configuraciones de seguridad y hardware general que puede almacenar, transmitir y procesar información de tarjetas de crédito.

Las pruebas de penetración se pueden realizar en varios componentes de su sistema de manejo de tarjetas de crédito, incluidos firewalls, servidores de redirección de comercio electrónico, servicios de autenticación, sistemas de detección/prevención de intrusiones, entre otros. Todos estos activos tecnológicos, junto con aquellos a los que acceden y gestionan los usuarios privilegiados, se incluyen en los sistemas críticos.

Diferencia entre pruebas de capa de aplicación y de capa de red

Los recientes ataques a la infraestructura de tarjetas de crédito se han centrado en explotar vulnerabilidades en las capas de aplicación.

Muchas empresas utilizan aplicaciones heredadas, aplicaciones web, aplicaciones móviles, componentes de código abierto y software desarrollado internamente como parte de su infraestructura de procesamiento de pagos. Las pruebas de capa de aplicación implican intentar penetrar en las aplicaciones utilizadas por la organización aprovechando sus vulnerabilidades.

Por otro lado, las pruebas de capa de red implican medir la integridad de los dispositivos que forman parte de la red de una organización. Por ejemplo, las pruebas pueden implicar intentar acceder a conmutadores, enrutadores, cortafuegos y servidores mediante la explotación de sus debilidades. Las vulnerabilidades típicas que podrían estar en una capa de red incluyen dispositivos mal configurados, contraseñas predeterminadas y sistemas sin parches.

Pruebas de capa de aplicación y capa de red requeridas por PCI DSS

Para cumplir con PCI DDS, las organizaciones deben probar la autenticación, las aplicaciones de cumplimiento de PA-DSS, las aplicaciones web y un entorno de prueba separado.

1. i) Autenticación. Aquí, las empresas deben revisar los roles y el acceso a su entorno de empleados. Además, deben asegurarse de que los clientes solo accedan a sus datos. Al realizar pruebas de penetración, se deben evaluar tanto los controles del cliente titular de la tarjeta como los controles del usuario del empleador.
2. ii) Aplicaciones de cumplimiento de PA-DDS. Estas aplicaciones no tienen que ser probadas pero sí su implementación. Las pruebas deben centrarse en los servicios y sistemas operativos expuestos en lugar de la funcionalidad del sistema de pago.

iii) Aplicaciones web. Para las empresas que utilizan aplicaciones comerciales o de terceros, es fundamental asegurarse de que los programas se implementen, protejan y configuren correctamente.

Lo anterior es una descripción general de las pruebas de penetración PCI DSS.

Ken Lynch es un veterano de la puesta en marcha de software empresarial, que siempre ha estado fascinado por lo que impulsa a los trabajadores a trabajar y cómo hacer que el trabajo sea más atractivo. Ken fundó Reciprocity para perseguir precisamente eso. Ha impulsado el éxito de Reciprocity con este objetivo basado en la misión de involucrar a los empleados con los objetivos de gobierno corporativo, riesgo y cumplimiento de su empresa para crear ciudadanos corporativos más socialmente conscientes. Ken obtuvo su licenciatura en Ciencias de la Computación e Ingeniería Eléctrica del MIT.