El primer paso para determinar el alcance del cumplimiento del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es segmentar sus redes de datos.
La segmentación de red ayuda a mejorar la seguridad de los datos y reduce las posibilidades de infracciones resultantes de sistemas comprometidos.
Lo que debe saber sobre la segmentación de red PCI DSS
Para segmentar adecuadamente sus redes de datos para fines de cumplimiento de PCI DSS, es crucial comprender el propósito y los objetivos de la segmentación de la red.
Entorno de datos del titular de la tarjeta (CDE)
La información incluida en la información de identificación personal incluye el número de cuenta principal (PAN), el nombre del titular de la tarjeta, el código de servicio, la fecha de vencimiento y otros datos confidenciales de autenticación de la tarjeta.
En pocas palabras, cualquier dato que pueda ser utilizado por terceros maliciosos para robar la identidad de una persona o hacer cargos fraudulentos en su tarjeta se considera información de identificación personal.
El entorno de datos del titular de la tarjeta (CDE) se refiere a la red de infraestructura utilizada para almacenar datos de identificación personal asociados con la tarjeta de crédito o débito de su cliente. El entorno consta de cualquier sistema y proceso utilizado en la transmisión, almacenamiento y recuperación de datos de identificación personal. Los componentes de hardware y software que componen el CDE incluyen dispositivos de red, aplicaciones y dispositivos informáticos.
Los sistemas que pueden acceder al CDE deben segmentarse y configurarse con protocolos de seguridad complejos, como autenticación multifactor, cambios forzados de contraseña, seguridad biométrica, entre otros para reducir las amenazas de seguridad.
Requisitos de PCI DSS para la segmentación de red
Se puede acceder a los datos del titular de la tarjeta (CD) de diferentes maneras y en múltiples puntos en el entorno de datos del titular de la tarjeta. PCI DSS requiere que se implementen medidas de seguridad sólidas en todos los puntos del CDE donde se puede acceder a los datos.
Por ejemplo, los empleados pueden usar dispositivos como unidades USB para acceder a datos confidenciales. En tal caso, la organización debe tener una política de seguridad que rija el uso de dichos dispositivos para transmitir información. Por ejemplo, la organización puede exigir a los empleados que obtengan autorización de TI antes de enchufar cualquier unidad USB en un sistema que almacena los datos del titular de la tarjeta.
También se puede acceder al CDE de forma inalámbrica a través de LAN inalámbricas y Bluetooth. El departamento de TI debe configurar la infraestructura de red que admite estas tecnologías para garantizar que estén sólidamente protegidas contra intrusiones de terceros no autorizados. Esto puede implicar forzar el uso de contraseñas seguras, limitar el acceso a las redes configurando el SSID para que se oculte, configurar firewalls virtuales seguros, etc.
¿Qué alcance de su red debe ser compatible con PCI DSS?
Al determinar el alcance de qué partes de su red deben ser compatibles con PCI DSS, es fundamental evaluar todos los puntos de acceso a datos en el entorno de datos del titular de la tarjeta.
Se debe llevar a cabo una evaluación PCI DSS adecuada para catalogar cómo se reciben, almacenan y transmiten los datos del titular de la tarjeta dentro del CDE. Esto significa observar todos los procesos involucrados en las transacciones de pago y probar su integridad.
La infraestructura de almacenamiento de datos también debe evaluarse para garantizar que se ajusten a las mejores prácticas de la industria y que estén a salvo de intrusiones maliciosas. Debe comprender los procesos que manejan los datos y todos los sistemas o aplicaciones que pueden encontrar los datos durante la transmisión.
Todos los procesos, sistemas y personas que tienen acceso o entran en contacto con los datos en el CDE deben incorporarse en el programa de segmentación de red de cumplimiento PCI DSS. Las partes que no interactúan directamente con el CDE pero que encuentran datos de titulares de tarjetas también deben incorporarse al programa.
Después de revisar sus sistemas, procesos y entorno de datos, establezca controles para proteger los datos. Los controles deben limitar dónde se puede almacenar la información, los sistemas o procesos pueden acceder a los datos, etc. Mejorar la seguridad del acceso a los datos requerirá la implementación de varios controles, como métodos de encriptación y firewalls.
Finalmente, monitoree regularmente los controles de seguridad para asegurarse de que estén en línea con la dinámica cambiante de su CDE.
Sistemas fuera de alcance
No todos los sistemas de la organización deben ser compatibles con PCI DSS. De acuerdo con el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC), los sistemas que no tienen acceso al CDE están fuera del alcance del cumplimiento.
Un sistema fuera de alcance es aquel que no está involucrado de ninguna manera en la transmisión, almacenamiento o acceso de datos de identificación personal. Además, el sistema no debe estar conectado a ninguna red o proceso que esté conectado al CDE. Sin embargo, en el mundo empresarial actual, es casi imposible encontrar sistemas fuera de alcance en cualquier organización.
¿Se puede transferir el riesgo a terceros proveedores de servicios?
Los proveedores de terceros también deben cumplir con PCI DSS. Por lo tanto, los terceros con los que trabaja pueden afectar su cumplimiento de PCI DSS.
Antes de contratar a una compañía de terceros que tendrá acceso a su CDE o datos del titular de la tarjeta en cualquier forma, averigüe su estado de cumplimiento .; el contrato de servicio debe indicar qué partes del cumplimiento de las PCI DSS estarán a cargo del proveedor y cuáles se asignarán a su organización.