1. Impacto de la normativa PCI en el acceso remoto a la red
Tópicos a desarrollar:
• Breve introducción a la normativa PCI
• Modos de acceso a la red
• Principales Amenazas por OWA
OWASP
• Recomendaciones de Protección
2. Breve introducción a la normativa PCI (Payment Card Industry)
Las Normas de Seguridad de Datos (DSS) de la Industria de Tarjetas de Pago (PCI) se desarrollaron
para fomentar y mejorar la seguridad de los datos del titular de la tarjeta de crédito y para facilitar
la adopción de medidas de seguridad consistentes a nivel mundial.
Dónde encontrar información sobre la Normativa
En el siguiente link está disponible para todos aquellos que quieran consultar:
http://es.pcisecuritystandards.org
Además hay algunos documentos que complementan la regla y asisten en su cumplimiento.
3. Modos de acceso a la red
Hemos organizado la actividad “Impacto de la normativa PCI en el acceso remoto a la red”, con la
intención de tratar dos formas distintas de acceso:
• por medio de VPN
• por acceso a aplicaciones web
Conexiones VPN
Estas son requeridas para aquellos puntos de venta que utilizan redes públicas, es decir Internet.
La norma en su punto 4.1 exige cifrado fuerte, recomendando los protocolos IPSec y/o SSL. Vale la
pena mencionar, que la norma exige este tipo de conexiones para redes públicas y abarca también
a las redes MPLS, dependiendo del tipo de contrato que se tenga con el proveedor.
Véase lo incluido en el documento PCI-DSS-v-1-2
4. Aplicaciones Web
La normativa exige en los puntos 6.5 y 6.6 el control para que no existan vulnerabilidades en los
sitios web accesibles desde internet que realicen transacciones. Esos puntos están descriptos con
mayor detalle en el documento Application Reviews and Web Application Firewall versión 1.2.
En este documento se dan dos opciones a las empresas que realizan transacciones por medio de la
web. La primera es controlar que no exista ninguna vulnerabilidad en los sitios web y la segunda es
proteger los sitios web de vulnerabilidades conocidas.
Otra forma de proteger la información es mediante la implementación de soluciones de
protección contra ataques web. En particular Web Application Firewalls, estos dispositivos se
basan en firmas y en ataques conocidos. Pero permiten además quitarle carga a los servidores
web, autenticar usuarios, etc.
Caso de Análisis
En la Argentina recientemente ha sucedido un caso emblemático de una empresa que dice cumplir
con los requerimientos de la norma, pero sufrió un ataque que la obligó a interrumpir sus
operaciones por unas horas y difícilmente pueda seguir operando a largo plazo.
Como última mención a este caso, el cifrado fuerte no es el algoritmo base64 y no deberían existir
usuarios de prueba en la base de datos.
Más información:
http://blog.geelbe.com/ar/2010/03/24/nuevamente-en-linea/
5. Principales Amenazas por OWA
OWASP
El Open Web Application Security Project (OWASP) es una organización mundial sin fines de lucro
enfocada en mejorar la seguridad del software de aplicación. Alineados con ellos, proponemos
que al menos se protejan las diez principales amenazas descriptas a continuación.
6. Recomendaciones de Protección
Es un punto a considerar que conviene más en cada caso particular y no aplicar controles
solamente para cumplir con la norma, estos controles deben estar orientados a no sufrir ataques
que pueden traer resultados lamentables para el negocio. Por tal motivo y teniendo en cuenta que
se trata de aplicaciones de negocio, recomendamos que se realicen los dos tipos de controles:
• Análisis de vulnerabilidades y compliance con PCI realizado por auditores certificados y
externos a toda solución de seguridad presente en la empresa.
• Protección en tiempo real, con la implementación de Web Application Firewalls.
En RAN ofrecemos soluciones para todas las problemáticas presentadas. Para los puntos de venta,
ofrecemos soluciones de manejo de VPNs y cifrado fuerte. Integrando diferentes fabricantes y
soluciones que van desde la seguridad del endpoint (pudiendo ofrecer hasta el mismo sistema
operativo) hasta la aplicación que procesa las transacciones.
En ese sentido disponemos de las siguientes soluciones:
McAfee Solidcore: Solidificador de los puntos de ventas
Novell POS: Solución integral para puntos de venta
SonicWall Secure Remote Access: Terminador de VPNs por IPSec y SSL que incluye el cliente
SonicWall Netextender.
Novell Access Manager: Terminador de VPNs y Proxy.
Para proteger las aplicaciones publicadas en internet, RAN ofrece:
McAfee Secure: análisis de vulnerabilidades y PCI compliance en la nube (cuenta con la
certificación PCI para ofrecer este servicio)
SonicWall Web Application Firewall: Solución compliance con PCI que protege en tiempo real de
ataques web.
7. Resumen Ejecutivo
Modos de Principales Recomendación
Normativa PCI Acceso a la amenazas por de
Red OWASP
Protección
Implementa estándares
seguridad para transacciones Ranking
con tarjetas de crédito SSL-VPN http://www.owasp.org/images/0/
0f/OWASP_T10_-_2010_rc1.pdf
Aplicaciones
Web
Mayor Información
http://es.pcisecuritystandards.org