Ayuda

u n o

Gestión de eventos y monitoreo en el estándar PCI DSS
David Eduardo Acosta R.
Con el fin de definir una estrategia común para la protección contra fraudes y pérdida de datos relacionados con tarjetas bancarias, se conformó en 2006 el Payment Card Industry - Security Standard Council (PCI SSC) [1], integrado por American Express, Discover Financial Services, JCB International,MasterCard Worldwide y Visa Inc.

omo resultado, se han publicado tres diferentes estándares, orientados a garantizar la seguridad en el procesamiento, almacenamiento y transmisión de información confidencial asociada con tarjetas: • Data Security Standard (DSS), dirigido a entidades bancarias, comerciantes y proveedores de servicios implicados en el procesamiento, almacenamiento y/o transmisión de datosde tarjetas de pago. • Payment Application Data Security Standard (PA-DSS), orientado a vendedores y desarrolladores de soft66 Sistemas

C

ware que procesen datos de tarjetas de pago. • PIN-Entry Device requirements (PED), enfocado a empresas que desarrollan dispositivos para la captura de PIN (Personal Identification Number). Cada uno de estos estándares es de obligatorio cumplimiento paralas entidades a las cuales les apliquen. Para efectos prácticos, nos centraremos en el primer estándar: PCI DSS, que se puede descargar libremente desde el sitio web del Council. PCI DSS versión 1.2 fue publicado en Octubre de 2008 y actualmente se encuentra en fase de despliegue. Es importante co-

mentar que el objetivo final del PCI SSC es lograr que cualquier ente que procese, almacene otransmita datos de tarjetas cumpla con DSS. DSS fue desarrollado para definir una serie de controles homogéneos que le permitieran a las organizaciones afectadas, implementar contramedidas de forma sistemática y auditable, además de facilitar la adopción de dichos controles a nivel mundial, para la protección de los datos del tarjetahabiente (Personal Account Number (PAN), nombre del titular, códigode servicio y fecha de vencimiento de la tarjeta). Así mismo, DSS se enfoca en garantizar cuáles datos confidenciales, como la información de la banda magnética, los códigos de validación (CVC2/CVV2/CID) y el PIN/PINBLOCK, no sean almacenados bajo ninguna circunstancia, con el fin de reducir el fraude relacionado con tarjetas de pago. Para ello, se definió un conjunto de 12 requisitos,organizados de acuerdo con su área de cobertura, en 6 grupos u “objetivos de control”: Desarrollar y mantener una red segura Requisito 1: Instalar y mantener una configuración de firewall para proteger los datos de los tarjetahabientes.

Requisito 2: No usar contraseñas del sistema y otros parámetros de seguridad provistos por los proveedores. Proteger los datos de los tarjetahabientes Requisito 3:Proteger los datos de los tarjetahabientes que estén almacenados. Requisito 4: Cifrar los datos de los tarjetahabientes transmitidos a través de redes públicas abiertas. Mantener un programa de gestión de vulnerabilidad Requisito 5: Utilizar software antivirus y actualizarlo regularmente. Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguras. Implementar medidas sólidas de control deacceso Requisito 7: Restringir el acceso a los datos de los tarjetahabientes conforme con la necesidad del funcionario de conocer la información. Requisito 8: Asignar una Identificación única a cada persona que tenga acceso al sistema informático. Requisito 9: Limitar el acceso físico a los datos de los tarjetahabientes.
Sistemas 67

Monitorear y probar regularmente las redes Requisito 10: Rastreary monitorizar todo el acceso a los recursos de la red y datos de los tarjetahabientes. Requisito 11: Probar los sistemas y procesos de seguridad regularmente. Mantener una política de seguridad de la información Requisito 12: Mantener una política que contemple la seguridad de la información. Así mismo, en el estándar DSS se ofrece una serie de recomendaciones para restringir el entorno de...