Este documento resume el trabajo realizado para obtener los requisitos de seguridad necesarios para cumplir con los estándares PCI DSS, SOX y LOPD, que pueden automatizarse en un firewall de base de datos. Identifica 106 requisitos específicos de estas normativas relacionados con el acceso a datos. El documento proporciona contexto sobre estas normativas y cómo un firewall puede ayudar a las organizaciones a cumplir con ellas. El resultado servirá como base para un proyecto de adecuación de sistemas a estas normas de seguridad
Requisitos de seguridad PCI DSS, SOX y LOPD en firewall DB
1. Análisis de requisitos de seguridad
PCI DSS, SOX y LOPD,
automatizables en un firewall de base de datos
Jesús Vázquez González
Universidad de Alcalá de Henares,
Alcalá de Henares, Madrid, España
Resumen. En este artículo se presenta un resumen del trabajo realizado para la
obtención de los requisitos necesarios para el cumplimiento de los estándares y
normas de seguridad de la industria de tarjetas de pago (Payment Card Industry
Data Security Standard – PCI DSS), la ley federal de Estados Unidos Sarbanes–
Oxley (SOX) y la Ley Orgánica de Protección de Datos (LOPD),
automatizables en un firewall de base de datos. Con la obtención de estos
requisitos, se establece un punto de partida para la adecuación de los sistemas
de información de las organizaciones a las mencionadas normativas, utilizando
para ello tecnología de firewalls de bases de datos.
Palabras clave: Requisitos, seguridad, PCI DSS, SOX, LOPD, firewall, base
de datos.
1 Introducción
Las organizaciones almacenan, en sus bases de datos, información crítica para el
negocio, y en muchos casos han de cumplir con las cada vez más numerosas
normativas de seguridad.
De entre las normativas de seguridad existentes hay tres con una alta probabilidad de
aplicación en nuestro entorno, y que son:
Estándares y normas de seguridad de la industria de tarjetas de pago
(Payment Card Industry Data Security Standard – PCI DSS)
Ley federal de Estados Unidos Sarbanes–Oxley (SOX), también conocida
como el Acta de Reforma de la Contabilidad Pública de Empresas y de
Protección al Inversionista
Ley Orgánica de Protección de Datos (LOPD)
Todas estas normativas deben, por tanto, ser implantadas y automatizadas por un
cortafuegos de base de datos (database firewall en inglés, usualmente denominado
2. firewall de base de datos), que garantice el cumplimiento de los mencionados
estándares y legislaciones.
1.1 Contexto
El contexto de aplicabilidad del trabajo realizado se correspondería con el de una
compañía establecida en España que quiere adecuar sus sistemas de información,
desde la perspectiva del acceso a los datos, a los estándares de seguridad y
legislaciones referenciados.
Con el objetivo de mejorar el nivel de seguridad de los pagos realizados mediante
tarjetas, la compañía de este supuesto quiere cumplir con el estándar PCI DSS,
evitando así las posibles sanciones que su incumplimiento puede conllevar por parte
de las principales marcas de tarjetas de pago.
Con el objetivo de mejorar los controles financieros y garantizar la transparencia en la
gestión financiera, incrementando la credibilidad de la organización en materia de
seguridad de contabilidad y auditoría, y que la información sea realmente confiable
evitando el fraude, fuga de inversores, etc., la compañía quiere adecuarse también a
los procedimientos establecidos por la ley Sarbanes–Oxley. Con el cumplimiento de
esta ley se pretende además que la empresa y/o sus filiales puedan cotizar en la bolsa
de valores de Nueva York (NYSE).
Por último, por imperativo legal, la compañía también está obligada a implantar los
controles y procedimientos exigidos por la Ley Orgánica de Protección de Datos.
1.2 Alcance y objetivos
El objetivo de este trabajo consiste en la obtención de la lista de requisitos
automatizables en un firewall de base de datos, de acuerdo a los estándares y
legislaciones PCI DSS, SOX y LOPD.
El alcance del trabajo no consiste por tanto en elaborar una lista con todos los
requisitos de los estándares y legislaciones mencionados, sino sólo de aquellos que
dentro del ámbito de un firewall de base de datos deberían ser automatizados.
1.3 Estándares
Los estándares y legislaciones que sirven de base al desarrollo del trabajo son los
referenciados PCI DSS, SOX y LOPD.
3. 2 Componentes involucrados
2.1 Firewall de base de datos
Un firewall de base de datos es un dispositivo capaz de supervisar el comportamiento
de usuarios y aplicaciones que acceden a la base de datos en tiempo real, y de
prevenir ataques y accesos no autorizados a la información sensible.
El firewall ha de poder alertar, bloquear y registrar los intentos de acceso basado en
las políticas de seguridad definidas. La implementación de estas políticas no ha de
requerir cambios en las aplicaciones, ni en las infraestructuras de bases de datos y
sistemas operativos existentes.
La siguiente ilustración muestra un sencillo esquema de utilización de un firewall de
base de datos:
2.2 PCI DSS
Las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago se
desarrollaron para fomentar y mejorar la seguridad de los datos del titular de la tarjeta,
y para facilitar la adopción de medidas de seguridad consistentes a nivel mundial.
Ilustración 1. Esquema de firewall de base de datos
4. Las PCI DSS proporcionan una referencia de requisitos técnicos y operativos
desarrollados para proteger los datos de los titulares de tarjetas. Se aplican a todas las
entidades que participan en los procesos de las tarjetas de pago, así como a las que
almacenan, procesan o transmiten datos de titulares de tarjetas.
Estas normas constituyen un conjunto mínimo de requisitos para proteger datos de
titulares de tarjetas, que se pueden mejorar con el uso de controles y prácticas
adicionales, para mitigar otros riesgos.
A continuación, se presenta una descripción general de las 12 normas PCI DSS:
Tabla 1. Normas de seguridad de datos de la PCI: descripción de alto nivel
Norma Nº Descripción
Desarrollar y mantener
una red segura
1. Instalar y mantener una configuración de firewall para
proteger los datos del titular de la tarjeta
2. No use contraseñas de sistemas y otros parámetros de
seguridad provistos por los proveedores
Proteger los datos del
titular de la tarjeta
3. Proteja los datos del titular de la tarjeta que fueron
almacenados
4. Cifrar la transmisión de los datos del titular de la
tarjeta en las redes públicas abiertas
Mantener un programa
de administración de
vulnerabilidad
5. Utilice y actualice con regularidad los programas de
software antivirus
6. Desarrolle y mantenga sistemas y aplicaciones seguras
Implementar medidas
sólidas de control de
acceso
7. Restringir el acceso a los datos del titular de la tarjeta
según la necesidad de saber que tenga la empresa
8. Asignar una ID exclusiva a cada persona que tenga
acceso por computador
9. Restringir el acceso físico a los datos del titular de la
tarjeta
Supervisar y evaluar las
redes con seguridad
10. Rastree y supervise todos los accesos a los recursos de
red y a los datos de los titulares de las tarjetas
11. Pruebe con regularidad los sistemas y procesos de
seguridad
Mantener una política
de seguridad de
información
12. Mantenga una política que aborde la seguridad de la
información para todo el personal
2.3 SOX
La Ley Sarbanes–Oxley, que surgió después de los escándalos financieros en Estados
Unidos acontecidos a finales del 2001, que hicieron desconfiar a los inversionistas de
5. la información financiera publicada por las empresas, fue propuesta por Michael G.
Oxley y el Senador Paul S. Sarbanes en el Congreso estadounidense. Fue aprobada en
Julio de 2002, por el gobierno estadounidense, para mejorar el control realizado a las
empresas y recuperar la confianza de los inversores. Su alcance afecta a las
responsabilidades de los administradores de las empresas, a las limitaciones de las
auditorías y a la transparencia de las empresas.
La trama del caso Enron, que fue la que generó los escándalos mencionados,
consistió en crear una contabilidad ficticia utilizando técnicas de ingeniería financiera.
La empresa parecía ganar cada vez más dinero, pero realmente sus cuentas eran
deficitarias. Básicamente el esquema utilizado consistía en contabilizar las deudas y
pérdidas en entidades situadas en paraísos fiscales, que no entraban dentro del sistema
financiero de la compañía.
La Ley Sarbanes-Oxley introduce una serie de novedades que básicamente consisten
en:
Creación de una compañía encargada de supervisar las auditorías de las
compañías que cotizan en bolsa
Prohibición de préstamos personales a los directivos de la compañía
Transparencia en la declaración de opciones y acciones de los empleados
Endurecimiento de las penas, ante el incumplimiento de la ley, en lo
relacionado con los informes financieros
Protección a los empleados en caso de fraude corporativo
En la sección 302, es donde se establece la responsabilidad de la compañía por los
informes financieros, y en la sección 404 la evaluación de la gerencia de los controles
internos. Ambas secciones son por tanto las que han de ser tenidas en consideración
para poder alcanzar los objetivos perseguidos.
En la sección 302 es donde se establecen las responsabilidades penales que recaen
sobre la directiva de la empresa. Es la directiva quien firma el informe de estado de
cuentas de la empresa, sobre el que trabaja la auditoría externa. Con este cambio, la
responsabilidad en caso de fraude pasa de la auditoría externa a las personas de la
directiva de la empresa que han firmado el informe con el estado de las cuentas. La
ley establece pues, un responsable o conjunto de responsables sobre los que recaerán
las culpas en caso de fraude.
Desde la perspectiva de la solución técnica, en lo referente a la sección 302, ésta ha de
facilitar a la gerencia de la compañía la implantación de medidas y controles que
garanticen que la información financiera es confiable e íntegra, ha de prevenir por
tanto la realización de actividades fraudulentas.
En la sección 404, se introduce la exigencia de presentar un informe de control al
cierre de cada ejercicio fiscal. En este informe se establece la responsabilidad del
equipo directivo, acerca de asegurar que la estructura de control interno es la
adecuada.
6. Desde la perspectiva de la solución técnica, en lo referente a la sección 404, ésta ha de
facilitar a la auditoría externa la evaluación del control interno. Para ello es de vital
ayuda la elaboración automática de auditorías de los accesos realizados a los datos
financieros.
2.4 LOPD
La Ley Orgánica de Protección de Datos, de acuerdo a su artículo 1, tiene por objeto
garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las
libertades públicas y los derechos fundamentales de las personas físicas, y
especialmente de su honor e intimidad personal y familiar.
La Agencia Española de Protección de Datos, que es el ente encargado de vigilar el
cumplimiento de la LOPD, clasifica las medidas de seguridad exigibles a los ficheros
y tratamientos de datos personales en tres niveles acumulativos: básico, medio y alto.1
Esta clasificación se realiza atendiendo a la naturaleza de la información tratada, en
relación con la menor o mayor necesidad de garantizar la confidencialidad y la
integridad de la misma.
A continuación se indican los ficheros y tratamientos a los que corresponde aplicar las
medidas de seguridad relativas a cada uno de los niveles que determina el Reglamento
de desarrollo de la LOPD.
NIVEL ALTO. Ficheros o tratamientos con datos:
de ideología, afiliación sindical, religión, creencias, origen racial, salud
o vida sexual y respecto de los que no se prevea la posibilidad de
adoptar el nivel básico;
recabados con fines policiales sin consentimiento de las personas
afectadas; y
derivados de actos de violencia de género.
NIVEL MEDIO. Ficheros o tratamientos con datos:
relativos a la comisión de infracciones administrativas o penales;
que se rijan por el artículo 29 de la LOPD (prestación de servicios de
solvencia patrimonial y crédito);
de Administraciones tributarias, y que se relacionen con el ejercicio de
sus potestades tributarias;
de entidades financieras para las finalidades relacionadas con la
prestación de servicios financieros;
de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se
relacionen con el ejercicio de sus competencias;
1
En la “Guía para el cumplimiento de la LOPD” puede ampliarse esta información.
7. de mutuas de accidentes de trabajo y enfermedades profesionales de la
Seguridad Social;
que ofrezcan una definición de la personalidad y permitan evaluar
determinados aspectos de la misma o del comportamiento de las
personas; y
de los operadores de comunicaciones electrónicas, respecto de los datos
de tráfico y localización.2
NIVEL BÁSICO. Cualquier otro fichero que contenga datos de carácter personal.
También aquellos ficheros que contengan datos de ideología, afiliación sindical,
religión, creencias, salud, origen racial o vida sexual, cuando:
los datos se utilicen con la única finalidad de realizar una transferencia
dineraria a entidades de las que los afectados sean asociados o
miembros;
se trate de ficheros o tratamientos de estos tipos de datos de forma
incidental o accesoria, que no guarden relación con la finalidad del
fichero; y
en los ficheros o tratamientos que contengan datos de salud, que se
refieran exclusivamente al grado o condición de discapacidad o la
simple declaración de invalidez, con motivo del cumplimiento de
deberes públicos.
Las medidas de seguridad de nivel básico son exigibles en todos los casos. Las
medidas de nivel medio complementan a las anteriores en el caso de ficheros
clasificados en este nivel, y las de nivel alto, cuando deban adoptarse, incluyen
también las de nivel básico y medio.
En el trabajo realizado se han supuesto necesarias las medidas correspondientes al
nivel alto, es decir las más exigentes.
3 Conclusiones y trabajos futuros
Como resultado del trabajo realizado se han presentado los requisitos automatizables
en un firewall de base de datos, de acuerdo a los estándares y legislaciones en estudio.
En concreto se han obtenido:
PCI DSS. 70 requisitos, de diferentes niveles, que soportan el estándar de
seguridad
SOX. 12 requisitos, que abarcan las secciones 302 y 404
LOPD. 24 requisitos, que dan cobertura a la ley
2
Para esta categoría de ficheros además deberá disponerse de un registro de accesos.
8. El resultado obtenido es además la base para la realización de un proyecto de
adecuación de sistemas de información de una organización a los estándares y
legislaciones de seguridad más exigentes.
Tomando como punto de partida los requisitos obtenidos, se elaborará un marco de
trabajo para la “Adecuación de sistemas de información a las normativas de
seguridad PCI DSS, SOX y LOPD. Una aproximación PMI”.
Referencias
1. Agencia Española de Protección de Datos. (2010). Guía para el cumplimiento de la
LOPD.
2. Agrawal, R., Johnson, C., Kiernan, J., & Leymann, F. (2005). Taming Compliance with
Sarbanes-Oxley Internal Controls. 650 Harry Road, San Jose, CA 95120 &
Universitätsstraße 38, 70569 Stuttgart, Germany: IBM Almaden Research Center &
University of Stuttgart.
3. BOE num. 17, de fecha sábado 19 de enero de 2008. (19 de enero de 2008). REAL
DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de
desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de
carácter. BOE, pág. 34.
4. Cortes Generales de España. (1999). Ley Orgánica 15/91999, de 13 de diciembre, de
Protección de Datos de Carácter Personal. Madrid.
5. Kost, S. (2006). DBA Guide to Understanding Sarbanes-Oxley. Integrity Corporation. Li,
J., Singhal, S., Swaminathan, R., & H. Karp, A. (2010). Managing Data Retention Policies
at Scale. 1501 Page Mill Road, Palo Alto, CA 94304, USA: Hewlett-Packard
Laboratories.
6. Namiri, K., & Stojanovic, N. (2007). A Formal Approach for Internal Controls
Compliance in Business Processes. 76131 Karlsruhe, Germany: SAP Research Center
CEC Karlsruhe, SAP AG, Vincenz-Prießnitz-Str.1.
7. PCI Security Standards Council. (Octubre 2010). Industria de Tarjetas de Pago (PCI).
Norma de seguridad de datos. Requisitos y procedimientos de evaluación de seguridad.
Versión 2.0.
8. Robertson, N. (2005). Use Best Practices for Keeping Your SOX in Compliance.
Developer.com.
9. Vázquez, E. R. (2004). Sarbanes Oxley Acta del 2002, traducción al castellano del
documento original en inglés. FERREYROS S.A.A. Lima- Perú.