92 SEPT I EMBRE 2007 / N º76 / S iC

¿QUÉ ES PCI DSS?

Antes de afrontar el proceso de implan-tación de los requerimientos(tabla1) PCI DSS, es necesario que las empresas tengan el conocimiento mínimo de qué y cómo se aplica este estándar de seguridad.

PCI DSS es un estándar de seguridad que defi ne el conjunto de requerimien-tos para gestionar la seguridad, defi nir políticas y procedimientos de seguridad, arquitectura de red, diseño de software y todo tipo de medidas de protección que intervienen en el tratamiento, procesado o almacenamiento de información de tarjetas de crédito. Su fi nalidad es la reducción del fraude relacionado con las tarjetas de crédito e incrementar la seguridad de estos datos.

PCI DSS es fruto del esfuerzo del PCI Security Standards Council (PCI SSC1) formado por las principales marcas de tarjetas de crédito (Visa2, Mastercard3, American Express4, JCB5 y Discovery Discovery 6).

Las organizaciones son catalogadas en 3 tipologías:

• Comercios (super/hipermercados, autopistas, comercio-e, agencias de via-jes, etc.), en inglés merchants.

• Proveedores de servicios (ISP/ASP, pasarelas de pago, fabricantes de tarjetas, servicios de envío de tarjetas, procesadores de transacciones, etc.), en inglés service providers.

• Entidades fi nancieras (bancos, cajas de ahorro, entidades de crédito, etc.), en inglés acquirers.

En la actualidad, dado que el nego-cio de tarjetas de crédito en España está liderado por Visa y Mastercard, los comer-cios están recibiendo requerimientos de cumplimiento PCI DSS por medio de las entidades fi nancieras que a su vez han sido requeridas por las marcas para obligar a los comercios a cumplir PCI DSS.

En efecto, las entidades fi nancieras

también deben cumplir PCI DSS. Lo que es cierto es que, por un lado, dada su trayectoria en gestión de seguridad de la información y, por otro lado, dado que cumplen también el papel (son respon-

sables) de asegurar que todos los comer-cios y proveedores de servicio a los que representan cumplen PCI DSS, éstos no están siendo el objetivo principal de Visa y Mastercard, y esto se refl eja en que en la actualidad no existen requerimientos específi cos de validación o proceso de certifi cación para las entidades fi nan-cieras (aunque no quiere decir que en un futuro no aparezcan), aunque sí se les recomienda realizar validaciones en forma de auditorías anuales.

Por tanto, el punto de partida tendría que ser hacernos preguntas como: ¿me aplica PCI DSS? ¿Qué repercusión tiene no cumplir PCI DSS? ¿En qué puntos de mi organización tengo que cumplir PCI DSS o lo que es lo mismo, cuál es mi entorno de cumplimiento? ¿Cuál es mi estado actual de cumplimiento? ¿Qué tareas debo reali-zar para acabar cumpliendo PCI DSS?

Si mi empresa realiza algún tipo de procesamiento, transmisión o almace-namiento de información de tarjetas de crédito (esto implica el número de la tar-jeta o PAN - Primary Account Number), ya Primary Account Number), ya Primary Account Numbersea de forma directa o indirecta mediante algún proveedor de servicios, entonces, queda afectada por el cumplimiento de los requerimientos que establece PCI DSS.

Posibles repercusiones de no imple-mentar PCI DSS en el caso de que la em-presa quede afectada por este estándar son: lo estipulado por contrato: multas,

rescisiones de contrato, gastos de investi-gación forense en caso de incidente, etc.; pérdida de reputación y daños a la imagen corporativa; pérdida de clientes; etc.

La mejor manera de afrontar el resto de preguntas es mediante la realización de un estudio o análisis preliminar del estado de cumplimiento, donde se defi ne el ámbito al que aplica el es-tándar (entorno de cumplimiento), identifi cando cómo fl uye la información de tarjetas a través de los diferentes sis-temas, aplicaciones y redes de la orga-nización, así como los departamentos y personas afectadas, y que permite medir también el grado de madurez de la empresa respecto al cumplimiento de los requerimientos establecidos por el estándar. Previo a estos puntos, es aconsejable haber realizado una sesión de familiarización con PCI DSS, es decir, poner en conocimiento de todos los departamentos y empleados afectados, qué es PCI DSS, cuáles son los requeri-

PCI DSS: ¿cómo cumplir?La seguridad relacionada con números de tarjeta de crédito supone un verdadero dolor de cabeza para bancos, comercios, proveedores de servicios que operan en nombre de los comercios y, por supuesto, para los propios clientes. Cada día se cometen fraudes relacionados con tarjetas de crédito, debido a accesos de hackers a sistemas que almacenan datos de tarjetas, que son robados y utilizados para cometer fraude. Como respuesta por parte del sector, las marcas de tarjetas de crédito han creado el

conjunto de requerimientos de seguridad al que se ha denominado PCI DSS (PCI Data Security Standard). El cómo abordar la implantación de estos requerimientos es el objetivo de este artículo.

E S TÁNDARES

Miguel Ángel Domínguez Torres

Tabla 1: Requerimientos PCIDSS

Ilustración 1 Proceso de implantación PCI DSS

94 SEPT I EMBRE 2007 / N º76 / S iC

mientos que impone y cómo les afectan, de manera que todos hablemos el mismo lenguaje a la hora de defi nir el Programa de Cumplimiento PCI DSS.

Un aspecto crucial de este análisis pre-liminar es la identifi cación de relaciones con proveedores de servicio que controlan parte o, en algunos casos, todo el proce-so de negocio en el que intervienen las tarjetas de crédito. Hemos de tener en cuenta que independientemente de cómo se almacenen o transmitan los datos de las tarjetas de crédito, nuestra empresa será siempre la responsable última de la seguridad de esta información. Por tanto, debemos asegurarnos de que trabajamos con proveedores que cumplen PCI DSS y, de hecho, Visa recomienda que esto se establezca como un requerimiento contractual de los comercios con sus proveedores de servicios.

PROGRAMA DE CUMPLIMIENTO PCI DSS

Una vez se conoce dónde se tiene que aplicar el estándar y en qué estado de cumplimiento nos encontramos, se deben evaluar los riesgos sobre los activos que defi nen el entorno de cumplimiento y de-

fi nir cómo se van a alcanzar los objetivos marcados por los requerimientos PCI DSS a través del Programa de Cumplimiento PCI DSS.

Este programa defi ne la estrategia a acometer por la organización para cumplir los requerimientos establecidos por PCI DSS, disminuir los riesgos identi-fi cados y alinear la inversión en seguridad con los objetivos y necesidades de la or-ganización. Esta estrategia se concreta en una planifi cación de acciones o proyectos que facilita la información necesaria para decidir qué acciones abordar, así como su justifi cación en base al riesgo que disminuyen.

Una buena práctica es utilizar como base para la elección de controles de seguridad a implementar, una norma de ámbito internacional como es la ISO/IEC 17799:2005 (futura ISO27002), de manera

que la empresa pueda alinear los requeri-mientos PCI DSS con las buenas prácticas en seguridad de la información que defi ne ISO17799 y que hoy día es el estándar adoptado por la mayoría de empresas para defi nir y gestionar su seguridad de la información.

A la hora de determinar cómo cumplir con los requerimientos PCI DSS podemos encontrarnos con impedimentos técnicos o de negocio que no permiten implemen-tar el requerimiento tal y como se establece en el estándar. En estos casos se deben seleccionar controles compensatorios que hagan posible cumplir el objetivo del re-querimiento, justifi cando por qué no es posible implementar el requerimiento tal y como se especifi ca, y los controles que se utilizarán en su lugar, así como posibles riesgos que se introduzcan.

IMPLANTACIÓN

La implantación es en donde se hace realidad el programa de cumplimiento PCI DSS. El tiempo de implantación de-penderá mucho del trabajo que se haya identifi cado como necesario para cumplir

con PCI DSS, los recursos que se dediquen, el tamaño del entorno de cumplimiento, etc. Es en esta parte donde la empresa debe dedicar los recursos tanto económi-cos como personales necesarios para que los tiempos marcados en el programa de cumplimiento se alcancen y la empresa

pueda conseguir el cumplimiento PCI DSS, reportando la documentación ne-cesaria con el estado de cumplimiento a la entidad fi nanciera (o directamen-te a la marca en algunos casos) que solicitó dicho cumplimiento, y ésta a su vez reportándolo a las marcas que sean oportunas.

VALIDACIÓN

La manera en que las empresas vali-dan su cumplimiento con PCI DSS varía en función de varios parámetros: • Tipo de negocio (comercio o pro-

veedor de servicios)• Volumen de negocio (total de

transacciones anuales)• Canal (comercio-e por un lado y

resto de canales por otro)• Riesgo del negocio (si han sufrido

incidentes por hackers, etc.)Tanto Visa como Mastercard han

defi nido tablas(tabla2) que clasifi can los co-mercios y los proveedores de servicio por niveles, y en función de este nivel exigen ciertos requerimientos de validación. Los comercios de nivel 4 deben consultar a las entidades fi nancieras para conocer si deben cumplir los requerimientos de validación.

En el caso de los proveedores de servicios Visa y Mastercard defi nen 3 niveles de clasifi cación(tabla3), donde los 2 primeros exigen auditorías anuales on-site

Tabla 2: clasifi cación y requerimientos de validación para comercios

Tabla 3: clasifi cación y requerimientos de validación para proveedores de servicio

E S TÁNDARES

96 SEPT I EMBRE 2007 / N º76 / S iC

MIGUEL ÁNGEL DOMÍNGUEZ TORRES

Director de ConsultoríaCISSP, CISA, PCI QSA, ISO27001 L.A. Experto Implantador SGSI, OPSTINTERNET SECURITY AUDITORSmdominguez@isecauditors.com

por parte de un auditor QSA y escaneos trimestrales por parte de un ASV.

¿CÓMO CONSEGUIR AYUDA?

Las empresas que necesi-tan cumplir PCI DSS pueden solicitar ayuda por parte de empresas certifi cadas por el PCI SSC como:

• QSA7, para asesorar en la implantación de los requeri-mientos PCI DSS, ayudar en la elaboración del cuestionario de autoevaluación y realizar las au-ditorías on-site de cumplimiento de los requerimientos PCI DSS. A fecha de redacción de este ar-tículo existe una única empresa en España con esta certifi cación9.

• ASV8, para cumplir con el requeri-miento de realizar auditorías de vulnera-bilidades trimestralmente.

ISO27001 vs PCI DSS

Como es sabido, la norma ISO/IEC 27001:2005 defi ne los requerimientos para el establecimiento, implementación, operación, monitorización, revisión, man-tenimiento y mejora de un SGSI (Sistema de Gestión de Seguridad de la Informa-ción). Es una norma certifi cable que se ha convertido en el estándar internacional en gestión de seguridad de la información.

Uno de los aspectos que remarca ISO27001 en su cláusula 4.2.1)b)2) es que se deben tener en cuenta los re-querimientos legales, regulatorios, de negocio y contractuales que deben ser cumplidos, por lo que podríamos encajar PCI DSS como uno de los requerimientos a cumplir como parte del SGSI que opera en la organización.

Por otro lado, ISO27001 exige que las medidas de seguridad que se implanten estén justifi cadas en base al riesgo que soporta la organización y en base al riesgo aceptable para ésta (apetito de riesgo), de manera que como resultado del análisis de riesgos se decidirán aquellos riesgos que se quieren gestionar y se determinarán los controles a implementar tomando como base los del Anexo A (ISO17799), aunque pueden utilizarse otros si se considera conveniente. Los objetivos de control que PCI DSS establece son de obligado cumplimiento y lo único que podemos hacer es utilizar controles compensatorios en caso de no poder cumplir un objetivo de control tal y como se especifi ca.

Aunque ISO27001 cubre los requeri-mientos PCI DSS(tabla4), en algunos casos

faltan detalles de implementación (granu-laridad) que PCI DSS sí que especifi ca. Por tanto, puede utilizarse ISO27001 para ges-tionar el cumplimiento de PCI DSS, pero a la hora de implementar este cumplimiento se deberá analizar y seguir exactamente lo que PCI DSS especifi ca que debe hacerse para cumplir cada requerimiento.

Una alternativa podría ser defi nir el SGSI con un ámbito (scope) muy especí-fi co, y que sería el que afecta a la trans-misión, almacenamiento y tratamiento de datos de tarjetas de crédito, el ámbito de PCI DSS. El objetivo de hacer esto sería obtener la certifi cación ISO27001 dentro de este alcance concreto y aprovechar el trabajo realizado para cumplir PCI DSS como base para reducir el tiempo y coste necesario de implantar ISO27001.

Conclusiones

Cumplir PCI DSS no signifi ca sólo acreditarse o cumplir con las auditorías periódicas, sino establecer un estado en nuestro entorno de pago con tarjetas de crédito que cumpla con el estándar en todo momento. De esta forma, en caso de

Tabla 4: Relación de controles ISO27001 y requerimientos PCI DSS.

producirse un incidente, la organización podrá demos-trar que estaba operando bajo los requerimientos establecidos por PCI DSS al producirse el incidente.

En resumen, contar con un programa que cumpla PCI DSS ayuda a:

• Protegerse ante responsabilidades y costes potenciales vincu-lados a posibles casos de fraude con la información de tarjetas de crédito (p.e. en caso de una fuga de información o intrusión), costes de investigación en caso de incidente, costes legales, etc.

• Reducir riesgos vinculados a los datos de tarjetas de crédito.

• Gestionar y controlar la inversión en seguridad de la información.

• Aumentar la confi anza de los clien-tes: un cliente que paga con tarjeta sabe que sus datos están gestionados según un estándar de seguridad.

• Crear una cultura de seguridad en la organización.

El cumplimiento PCI DSS puede inte-grarse (o ser el comienzo) con el sistema de gestión de seguridad de la informa-ción (SGSI) de la organización a través de ISO27001 y pasar a ser una pieza más en el día a día de la gestión de seguridad del negocio.

REFERENCIAS1 PCI SSC – https://www.pcisecuritystandards.org/2 VISA Europa – http://www.visaeurope.com/aboutvisa/security/ais/aisprogramme.jsp3 Mastercard SDP – http://www.mastercard.com/us/sdp/4 American Express – http://www125.americanexpress.com/merchant/oam/ns/USEng/FrontServlet?request_

type=navigate&page=dataSecurityRequirements5 JCB – http://www.jcb-global.com/english/pci/index.html6 Discover – http://www.discovernetwork.com/merchant/resources/data/data_security.html7 Listado de empresas QSA certifi cadas – https://www.pcisecuritystandards.org/pdfs/pci_qsa_list.pdf8 Listado de empresas ASV certifi cadas – https://www.pcisecuritystandards.org/pdfs/asv_report.html9 QSA Español – Internet Security Auditors – http://www.isecauditors.com/es/noticias.html#qsa_asv

E S TÁNDARES