PCI: La nueva Estrategia de Seguridad de las Compañí. ñías de Tarjetas de Pago

Transcripción

1 PCI: La nueva Estrategia de Seguridad de las Compañí ñías de Tarjetas de Pago Lic. Pablo Milano (PCI Qualified Security Asessor) CYBSEC S.A Security Systems

2 Temario Casos reales de robo de información de tarjetas de pago Payment Card Industry Security Standards Council (PCI-SSC) Quées? De quése encarga? Quiénes deben certificar compliance? Qualified Security Asessor (QSA) PCI Data Security Standard (PCI-DSS) Ejercitación: Caso de estudio

3 Casos reales Junio de 2005: Un intruso, abusándose de una vulnerabilidad en el sistema logró acceder a la red de la empresa Card Systems, un procesador de transacciones de pago. De allí robó información de más de de tarjetas de crédito y débito, que luego fueron utilizadas en estafas. Fue uno de los mayores robos de información de tarjetas de pago de la historia. Imagen:

4 Casos reales Diciembre de 2006: La cadena de retail estadounidense TJX detectó que atacantes lograron acceder a la red de procesamiento de transacciones de la compañía, y robaron información de más de tarjetas de crédito. La investigación posterior mostró que la fuga de información había comenzado 7 meses antes. La empresa enfrenta hoy demandas de sus clientes y multas de las firmas de tarjetas de crédito Imagen:

5 Casos reales Enero de 2007: Se investiga un probable robo de información de tarjetas de pago de la cadena de indumentaria Club Monaco en Canada. Los bancos emisores de las tarjetas involucradas están siguiendo de cerca los consumos de sus clientes, para detectar signos de estafas. Imagen:

6 Payment Card Industry Security Standards Council (PCI-SSC) Con el fin de concentrar los esfuerzos para minimizar el riesgo de fraudes con tarjetas de pago, los grandes operadores mundiales se han asociado en la organización denominada Payment Card Industry Security Standards Council. Algunos de sus miembros son: VISA MASTERCARD AMERCIAN EXPRESS DINERS DISCOVER CARD JCB La organización fue creada en septiembre de 2006 para coordinar y administrar acciones relativas a la seguridad de la información relacionada a tarjetas de pago y sus titulares en cada uno de los eslabones de la cadena.

7 Payment Card Industry Security Standards Council (PCI-SSC) Las funciones del PCI-SSC son las siguientes: Definir, desarrollar, mantener y distribuir el PCI Data Security Standard (PCI-DSS) Entrenar, testear y certificar Qualified Security Asessors (QSAs) Entrenar, testear y certificar Approved Scanning Vendors (ASVs)

8 Quiénes deben certificar Compliance? Cada empresa de tarjetas de pago, posee un programa de seguridad de transacciones de pago, Ej: Visa USA:CISP (Cardholder Information Security Program) Visa LATAM: AIS (Account Information Security Program) Mastercard: SDP (Site Data Protection) American Express: DSS (Data Security) Discover: DISC - (Data Security Guidelines) Por medio de ellos, se requiere compliance con el standard PCI-DSS a los miembros y comercios, estableciéndose penalidades y multas para aquellos que no se ajusten al standard.

9 Quiénes deben certificar Compliance? Separación de niveles de VISA: Retail y MO/TO E-Commerce Procesador Nivel 1 Nivel 2 Comercios con 80% del volumen de transacciones Comercios con 20% del volumen de transacciones Alto Riesgo Comercios con 80% del volumen de transacciones Comercios con 20% del volumen de transacciones Todos los procesadores, Payment Gateways e IPSP - Network Scan - Autoevaluación - Auditoría en Sitio - Network Scan - Autoevaluación Nivel 3 Comercios que no tienen capacidad de almacenar información (ej: comercios con POS) Bajo Riesgo - Autoevaluación (Recomendado)

10 Quiénes deben certificar Compliance? Separación de niveles de Master Card: Comercios Service Providers Nivel 1 Nivel 2 Nivel 3 - Comercios con más de de transacciones anuales. - Comercios que sufrieron compromisos de seguridad - Comercios catalogados como de Nivel 1 por otras tarjetas. - Todos los procesadores - Todos los Data Storage Entities (DSEs) que almacenan datos de cuentas de los comercios de niveles 1 y 2 - Auditoría en Sitio - Network Scan - Comercios que procesen entre y de transacciones anuales - Todos los DSEs que almacenan datos - Autoevaluación - Comercios catalogados como de nivel 2 por otras tarjetas de cuentas de los comercios de nivel 3 - Network Scan - Comercios que procesen entre y transacciones anuales - Autoevaluación El resto de los DSEs - Comercios catalogados como de nivel 3 - Network Scan por otras tarjetas Nivel 4 El resto de los comercios - Autoevaluación - Network Scan

11 QSA (Qualified Security Asessor) Es una empresa, especializada en seguridad de la información. La empresa y sus integrantes se certifican ante el Payment Card Industry Security Standards Council. Es reconocida por todos los miembros de PCI (VISA, Master Card, etc.) Está aprobada por PCI para realizar auditorías On Site en los comercios y entidades de Nivel 1 para establecer el cumplimiento de PCI-DSS. Brinda asesoramiento sobre compliance con PCI y Gap Analisis.

12 PCI Data Security Standard (DSS) El standard PCI-DSS define 12 requerimientos básicos separados en 6 categorías. Los mismos abarcan todas las áreas involucradas en la seguridad del procesamiento de transacciones con tarjetas de pago.

13 PCI Data Security Standard (DSS) Categoría 1: Construir y Mantener Redes Seguras 1) Instalar y mantener configuraciones de firewall para proteger la información. Establecer estándares de configuración de firewalls Whitelist, Statefull Inspection Segmentación de la red (DMZs) Firewall de perímetro en todas las redes wireless Utilización de IP Masquerading (NAT) 2) No usar contraseñas o parámetros de seguridad por default. Definir estándares de configuración de equipos Establecer nuevos valores para passwords, comunidades SNMP, SSIDs, etc. Encriptar accesos administrativos (SSH, VPN, SSL/TLS, etc)

14 PCI Data Security Standard (DSS) Categoría 2: Proteger la Información del Titular de Tarjetas de Pago 3) Proteger Información Almacenada. Minimizar el almacenamiento de datos de titulares de tarjetas Restricciones de almacenamiento de datos sensibles (Track1 / Track2, CVV2, PIN Block, Account Numbers, etc) Enmascarar el Primary Account Number (PAN) al mostrarlo (primeros 6 y últimos 4 dígitos) Uso de algoritmos de encripción estándar de la industria Documentar e implementar procedimientos de manejo de claves. 4) Cifrar datos del titular de tarjetas e información sensitiva al enviarla por redes públicas Usar criptografía fuerte y técnicas de encripción No enviar información de titulares de tarjeta por mail sin encripción.

15 PCI Data Security Standard (DSS) Categoría 3: Establecer Programas de Pruebas de Vulnerabilidades 5) Usar y actualizar regularmente soluciones anti-virus Incluir todos los sistemas Windows Las soluciones deben estar funcionales, actualizadas y deben generar Logs. 6) Desarrollar y mantener sistemas y aplicativos seguros Todos los sistemas deben tener los últimos parches de seguridad Establecer un proceso para identificar nuevas vulnerabilidades Desarrollar software siguiendo estándares de seguridad y buenas prácticas de la industria (Ej: OWASP) Incorporar seguridad a lo largo del ciclo de desarrollo del software Las aplicaciones WEB deben ser revisadas en busca de vulnerabilidades por una organización especializada en seguridad

16 PCI Data Security Standard (DSS) Categoría 4: Implementar medidas fuertes de control de Acceso 7) Restringir acceso a información de acuerdo reglas de negocio Limitar el acceso a los recursos únicamente a quienes lo necesitan Utilizar criterio de Whitelist (denegar todo por default ) 8) Asignar IDs únicos para cada persona con acceso a sistemas Identificar a cada usuario con un ID único antes de brindar accesos Utilizar métodos de autenticación (password, tokens, biometrics) 9) Restringir acceso a la información de titulares de tarjetas de pago. Limitar y monitorear el acceso a información sobre tarjetas Definir procedimientos para administración de accesos y registro de visitantes Almacenar los backups de manera segura Asegurar físicamente los medios de información Implementar una política de destrucción de documentos descartados

17 PCI Data Security Standard (DSS) Categoría 5: Monitorear y Probar regularmente el Acceso a la Red 10) Rastrear y monitorear todos los accesos a la Red e información de titulares de Tarjetas de Pago Implementar auditoría automática en todos los componentes del sistema Mantener sincronizada la hora de todos los servidores Asegurar los registros de auditoría. Revisar diariamente los Logs de los servidores 11) Regularmente probar sistemas y procedimientos de seguridad Testear anualmente limitaciones, controles y conexiones de red Realizar periódicamente escaneos de vulnerabilidades internos y externos Realizar Penetration Tests anuales. Utilizar NIDS/HIDS Utilizar sistemas de monitoreo de integridad de archivos.

18 PCI Data Security Standard (DSS) Categoría 6: Mantener Políticas de Seguridad de la Información 12) Establecer políticas dirigidas a la Seguridad de la Información Mantener, establecer, publicar y diseminar una política de seguridad Desarrollar procedimientos diarios de seguridad operacional Desarrollar políticas para la utilización de tecnologías críticas por parte de los empleados (Ej: Modems y Wireless) Implementar un programa formal de concientización en Seguridad de la Información Educar a los empleados, desde la contratación y de manera regular. Implementar un plan de respuesta ante incidentes Mantener e implementar políticas y procedimientos de seguridad para con todas las entidades conectadas con la organización

19 Caso de estudio Super Shop S.A: Cadena de retail creciente a nivel nacional Catalogada como de Nivel 1 por VISA Argentina Tiene una sede central y 4 sucursales en interior y GBA Acepta transacciones con tarjetas de débito y crédito

20 Sucursal Quilmes Sucursal Haedo Sucursal Córdoba Sucursal Rosario Super Shop S.A INTERNET Topología Actual Router Firewall LAN LOCAL X25 FileServer Database Server App Server Wireless Access Point Workstations Mail Server Web Server Autorizador local de pagos

21 Sucursal Quilmes Sucursal Haedo Sucursal Córdoba Sucursal Rosario Super Shop S.A Cambios Propuestos Router INTERNET Firewall VLAN LOCAL DMZ VLAN Tarjetas X25 App Server Workstations File Server Mail Server Web Server Access Point Database Server Autorizador local de pagos

22 Caso de estudio Super Shop S.A La VPN utiliza encripción DES de 56 bits. El autorizador local de transacciones corre sobre un equipo Linux Almacena información sobre las ventas para un programa de fidelidad Se incluyen todos los datos de la tarjeta de crédito, ofuscados usando un algoritmo propietario y secreto que diseñó un desarrollador de Super Shop. Únicamente 4 personas tienen acceso a la base de datos de ventas. Las 4 personas utilizan el usuario dbsupervis con password r98ja03p. Hay un administrador de red que configura la seguridad en los equipos También configura las reglas de firewall cuando se lo solicitan. Cada tanto, actualiza parches de seguridad en los servidores Windows. Cuando el tiempo se lo permite, revisa los logs de algunos equipos

23 Caso de estudio Super Shop S.A La VPN utiliza encripción 3DES de 168 bits. El autorizador local de transacciones corre sobre un equipo Linux Almacena información sobre las ventas para un programa de fidelidad Se incluyen todos los datos de la tarjeta de crédito, ofuscados usando un algoritmo propietario y secreto que diseñó un desarrollador de Super Shop. Únicamente 4 personas tienen acceso a la base de datos de ventas. Las 4 personas utilizan el usuario dbsupervis con password r98ja03p. Hay un administrador de red que configura la seguridad en los equipos También configura las reglas de firewall cuando se lo solicitan. Cada tanto, actualiza parches de seguridad en los servidores Windows. Cuando el tiempo se lo permite, revisa los logs de algunos equipos

24 Caso de estudio Super Shop S.A La VPN utiliza encripción 3DES de 168 bits. El autorizador local de transacciones corre sobre un equipo Linux Almacena información sobre las ventas para un programa de fidelidad Se incluye fecha y hora de la transacción, monto, nombre del titular encriptado con RSA (1024 bits) y un hash MD5 del Primary Account Number (PAN) Únicamente 4 personas tienen acceso a la base de datos de ventas. Las 4 personas utilizan el usuario dbsupervis con password r98ja03p. Hay un administrador de red que configura la seguridad en los equipos También configura las reglas de firewall cuando se lo solicitan. Cada tanto, actualiza parches de seguridad en los servidores Windows. Cuando el tiempo se lo permite, revisa los logs de algunos equipos

25 Caso de estudio Super Shop S.A La VPN utiliza encripción 3DES de 168 bits. El autorizador local de transacciones corre sobre un equipo Linux Almacena información sobre las ventas para un programa de fidelidad Se incluye fecha y hora de la transacción, monto, nombre del titular encriptado con RSA (1024 bits) y un hash MD5 del Primary Account Number (PAN) Únicamente 4 personas tienen acceso a la base de datos de ventas. Cada persona tiene su propio ID usuario y debe cambiar su clave cada 90 días Hay un administrador de red que configura la seguridad en los equipos También configura las reglas de firewall cuando se lo solicitan. Cada tanto, actualiza parches de seguridad en los servidores Windows. Cuando el tiempo se lo permite, revisa los logs de algunos equipos

26 Caso de estudio Super Shop S.A La VPN utiliza encripción 3DES de 168 bits. El autorizador local de transacciones corre sobre un equipo Linux Almacena información sobre las ventas para un programa de fidelidad Se incluye fecha y hora de la transacción, monto, nombre del titular encriptado con RSA (1024 bits) y un hash MD5 del Primary Account Number (PAN) Únicamente 4 personas tienen acceso a la base de datos de ventas. Cada persona tiene su propio ID usuario y debe cambiar su clave cada 90 días Hay un responsable de seguridad de la información Se definió una política para la modificación de reglas de firewall Se definió un procedimiento periódico de patch management para todas las plataformas (Windows y Linux) Se implementó una herramienta de monitoreo remoto y parsing de logs, así como un procedimiento para su verificación.

27 PREGUNTAS Contacto: CYBSEC S.A Security Systems