Evolución Continua en la Seguridad de Medios de Pago. Los Reconocen?

Transcripción

1 PCI DSS v 3.0 Evolución Continua en la Seguridad de Medios de Pago 19 de Febrero 2014 R. Fabian Garzón, PCI QSA, CISM, CISSP, + Los Reconocen?

2 Los Reconocen? Qué tienen en común?

3 Los Adversarios Carding Forums Boafactory Carderplanet CardersMarket DumpsMarket CCPower Shadowcrew Theftservices CarderPortal

4 2011 Costo de una Brecha de Datos Es inherentemente difícil asignar un valor económico a algunos tipos de información que son sujetos a robo AGENDA Definiciones Previas, ingresando al mundo PCI DSS Cambios destacables en PCI DSS 3.0 Conclusiones

5 La Seguridad y el Negocio Funcionalidad (Características) Acceso/Explotación Egreso/Extracción Brecha Seguridad (Restricciones) Usabilidad (GUI) Datos LA SOBRECARGA DEL CUMPLIMIENTO SARO Circulares Regulación Internacional Regulación Nacional Leyes de Protección de Datos SARC, SARLAFT Regulación de Industria SOX Intromisión Externa No Deseada? PCI DSS COBIT, ISO 27002, ISO ITIL PROYECTOS PMI ORGANIZACION GRC GESTION DE RIESGOS y CUMPLIMIENTO

6 PANORAMA ACTUAL Comportamiento del Consumidor Industria de Medios de Pago Tecnología Regulatorio Interés en usar nuevas formas y esquemas de pago (gift cards, prepaid cards, Móviles, NFC, EMV, bitcoins, redes sociales, banca movil, monedero electrónico, etc) Cambian de entidad financiera si perciben que no hacen lo suficiente para protegerlos No regresan a entidades donde han ocurrido compromisos, fraudes o brechas Vuelven a usar Cash PANORAMA ACTUAL Comportamiento del Consumidor Industria de Medios de Pago Tecnología Regulatorio Sector atractivo para los Delincuentes informáticos Requerimientos de cumplimiento PCI DSS Herramientas de Detección y Prevención de Fraude Innovación en servicios y productos

7 PANORAMA ACTUAL Comportamiento del Consumidor Tecnología Industria de Medios de Pago Regulatorio Directivas/Circulares de entes reguladores (SuperIntendencias Bancarias/Financieras) Ley de Notificación de Brechas Ley de Protección de Datos Personales PANORAMA ACTUAL Comportamiento del Consumidor Industria de Medios de Pago Tecnología Regulatorio CHIP (EMV), NFC Tokenización Esquemas de encripción Autenticación fuerte Virtualización Cloud Computing BIG DATA

8 Brecha Compromiso Carders CHD PCI SSC PCI DSS PA DSS QSA ASV BIN CDE PIN PAN CVV CVV2 Truncar Banco Emisor Tokenizar El Mundo PCI Enmascarar ISO 7813 P2PE TRACK HSM Autorización Conciliación CVSS Formula de Luhn ó Modulo 10 ISO 8583 WIPS PTS EPP Adquirente Compensación FIM WAF OWASP Control Compensatorio Inspección de Código PFI PCIP PED POS CWE/SANS ATM TDE POI Proveedores de Servicio ISA LA INDUSTRIA

9 EL PCI SSC Entidades Financieras Asesores Comercios Fabricantes Gateways Redes ACH Proveedores de Servicios Procesadores LATINOAMERICA EN EL PCI SSC

10 NORMAS PCI PCI DSS Payment Card Industry Data Security Standard Norma de seguridad que deben cumplir las organizaciones que Procesan, Transportan o Almacenan datos de cuenta (Account Data). La mejor línea de Defensa contra la Exposición y compromiso a los datos de cuenta.

11 DATOS DE CUENTA = CHD + SAD EL CICLO DE VIDA PCI DSS PCI DSS ver 1.0 del 2005, es la evolución del más maduro estándar de VISA. PCI DSS ver 1.1 válido a partir de Septiembre del 2006 PCI DSS ver 1.2 válido a partir de Octubre 2008 PCI DSS ver 2.0 Divulgada el 28 de Octubre de 2010, válida a partir de Enero 2011 PCI DSS ver 3.0 Divulgada el 7 de Noviembre de 2013, válida a partir de 1 de Enero 2014

12 Feedbacks Más de 200 Feedbacks Queries directos a bases de datos Pen testing por empresas avaladas por el PCI SSC, tipo ASV Scan de vulnerabilidades interno por una ASV Guía sobre scoping y segmentación Más prescriptivo sobre los service providers en acuerdos contractuales y cumplimiento Llaves de encripción vinculadas a cuentas de usuarios, una guía adicional Passwords más exigentes, expandir la autenticación más allá de passwords Requerimiento 12 se vuelva Requerimiento 1 Las revisiones diarias de logs son irreales sin un sistema de alertas establecido y funcional SAD no pueden ser almacenados después de la autorización, pero cuanto tiempo es demasiado tiempo? SAD sin PANs Dejar usar el Logo del PCI SSC DLP(IPS) Premisas La versión 3.0 introduce más cambios que la versión 2.0. Las 6 secciones y 12 requerimientos principales permanecen, hay nuevos subrequerimientos El estándar actualizado pretende ayudar a las organizaciones a integrar la seguridad de los datos de cuenta dentro de las actividades cotidianas de negocio (business-as-usual) Balance de flexibilidad, rigor y consistencia

13 Premisas Reorganización de numerales, remoción de procedimientos de prueba redundantes o que se superponen Hay cambios dirigidos a los QSAs, otros a las organizaciones que deben cumplir con PCI DSS Tipos de Cambios CLARIFICACIONES Se clarifica el propósito del requerimiento. Palabras precisas y concisas en la norma que muestren el propósito deseado del requerimiento. 74 GUIA ADICIONAL Explicaciones y/o definiciones adicionales para aumentar el entendimiento o brindar información adicional sobre un tópico particular 5 REQUERIMIENTO MEJORADO EVOLUCIÓN Cambios para asegurar que la norma se mantiene actualizada con amenazas emergentes y cambios en el mercado 19

14 La Estructura de la Norma La Estructura de la Norma (antes) Procedimientos de prueba mejorados para clarificar el nivel de validación esperado para cada requerimiento

15 La Estructura de la Norma (ahora) Procedimientos de prueba mejorados (muestra)

16 Procedimientos de prueba mejorados (muestra) ROC REPORTING TEMPLATE (ahora) Fuente:

17 Educación y Concientización Temas clave Flexibilidad Mejores prácticas Business-as-usual Navigating PCI DSS se incorpora Educación a usuarios en cuanto a Passwords (8.4) Entrenamiento a los PA-DSS vendors Políticas de seguridad y procedimientos operacionales integrados en cada Requerimiento Entrenamiento y seguridad en POS (9.9) Balance entre lo prescriptivo y la flexibilidad mientras no se debilite la integridad, la fortaleza o efectividad del estándar, y sin restringir a las organizaciones a que utilicen métodos específicos Fortaleza/Complejidad de Passwords Detección de cambios Revisión de logs basado en riesgos WAF o mecanismo similar La Seguridad como una responsabilidad compartida Seguridad en terminales POS Password de los proveedores de servicio Definir las Responsabilidades de los Proveedores y Clientes Respuesta a Nuevas Amenazas Cambios de passwords default aplica a cuentas de servicio, cuentas de aplicaciones y cuentas de usuarios Vulnerabilidades en código para ser evitadas en los procesos de desarrollo de software Aclaraciones iniciales (A) SAD (Datos Sensibles de Autenticación) no deben ser almacenados después de la autorización, incluso si están cifrados. Esto aplica incluso si no hay PAN en el entorno Determinar con su respectivo adquirente o con las Marcas para definir si SAD es permitido ser almacenado antes de la autorización, por cuanto tiempo, y cualquier requisito de uso y protección adicional

18 Aclaraciones iniciales (B) CDE Componentes de Sistema incluyen dispositivos de red, servidores, dispositivos de cómputo y aplicaciones. Componentes de sistema incluyen pero no están limitados a los siguientes: Sistemas que proveen servicios de seguridad (por ejemplo, servidores de autenticación), que facilitan la segmentación (por ejemplo, firewalls internos), o pueden impactar la seguridad del CDE. Componentes de Virtualización tales como máquinas virtuales, switches/routers virtuales, appliances virtuales e hypervisors. Cualquier otro componente o dispositivo ubicado dentro o conectado al CDE Sección nueva Mejores prácticas para la Implementación de PCI DSS dentro de los procesos de negocio normales/cotidianos Best Practices for Implementing PCI DSS into Business-as-Usual Processes Monitoreo de los controles de seguridad Si un control falla: Restauración, Identificar la causa de la falla, resolver los asuntos de seguridad que surgieron durante la falla, evitar que falla del control vuelva a ocurrir, monitoreo mejorado por un periodo de tiempo para verificar la restauración efectiva del control Cambios en el entorno PCI DSS como parte de la estrategia de seguridad corporativa Comunicaciones y revisiones periódicas Revisiones anuales de hardware y software (soporte)

19 Grupos de interés especial (SIG) Third Party Security Assurance Best Practices for Maintaining PCI DSS Compliance Best Practices for Implementing a Formal Security Awareness Program Best Practices for Merchants: Skimming Prevention Best Practices for Small Merchants Encryption Key Management Guidance Guidance on Securing Admin Access to CDE Guidance on Steps to Obtain PCI DSS Certification Incident Response Plan Toolkit Increase Security at Retail Stores PCI DSS as it relates to "Mainframe Type" Environments Penetration Testing Scoping Guidance Making payment security business-as-usual Best Practices for Maintaining PCI DSS Compliance Qué PCI DSS sea un programa que facilite y soporte la seguridad de manera constante y a largo plazo de los datos de tarjetahabiente de la organización Disminuir el conflicto que surge cuando las prioridades del negocio inhiben el cumplimiento continuo de PCI después del cumplimiento inicial alcanzado Combinar PCI DSS con objetivos de negocio y formular los controles de gobierno apropiados, en ambientes de constante cambio

20 Best Practices for Maintaining PCI DSS Compliance Explorar varias estructuras de gobierno (COSO, 27001, 27002, COBIT, ITIL) y desarrollar una guía que incluya: Integración PCI DSS en el negocio y los procesos de cambio Mejores prácticas y controles que ayuden al cumplimiento constante y como parte de BAU Políticas y procedimientos operacionales Documentados, en uso y conocidos La política de seguridad debe abordar todos los requerimientos de PCI DSS 12.2 Desarrollar procedimientos de seguridad operacionales diarios que sean consistentes con los requerimientos (por ejemplo, procedimientos de mantenimiento de cuentas de usuarios, procedimientos de revisión de logs) 1.5 Asegurese que las políticas de seguridad y procedimientos operacionales para gestionar firewalls estén documentados, en uso y sean conocidos por todas las partes afectadas 2.5 Asegurese que las políticas de seguridad y procedimientos operacionales para gestionar parámetros de seguridad y otros valores por defecto de los fabricantes estén documentados, en uso y sean conocidos por todas las partes afectadas 3.7 Asegurese que las políticas de seguridad y procedimientos operacionales para proteger datos de tarjetahabiente almacenados estén documentados, en uso y sean conocidos por todas las partes afectadas

21 Políticas y procedimientos operacionales Documentados, en uso y conocidos 4.3 Asegurese que las políticas de seguridad y procedimientos operacionales para cifrar las transmisiones de datos de tarjetahabiente estén documentados, en uso y sean conocidos por todas las partes afectadas 5.4 Asegurese que las políticas de seguridad y procedimientos operacionales para proteger sistemas contra malware estén documentados, en uso y sean conocidos por todas las partes afectadas 6.7 Asegurese que las políticas de seguridad y procedimientos operacionales para desarrollar y mantener sistemas seguros y aplicaciones estén documentados, en uso y sean conocidos por todas las partes afectadas Políticas y procedimientos operacionales Documentados, en uso y conocidos 7.3 Asegurese que las políticas de seguridad y procedimientos operacionales para restringir acceso a datos de tarjetahabiente estén documentados, en uso y sean conocidos por todas las partes afectadas 8.8 Asegurese que las políticas de seguridad y procedimientos operacionales para la identificación y autenticación estén documentados, en uso y sean conocidos por todas las partes afectadas 9.10 Asegurese que las políticas de seguridad y procedimientos operacionales para la restricción de acceso físico a los datos de tarjetahabiente estén documentados, en uso y sean conocidos por todas las partes afectadas

22 Políticas y procedimientos operacionales Documentados, en uso y conocidos 10.8 Asegurese que las políticas de seguridad y procedimientos operacionales para monitorear todos los accesos a recursos de red y datos de tarjetahabiente estén documentados, en uso y sean conocidos por todas las partes afectadas 11.6 Asegurese que las políticas de seguridad y procedimientos operacionales para el monitoreo y las pruebas de seguridad estén documentados, en uso y sean conocidos por todas las partes afectadas Novedades: Requerimiento Diagrama de red actualizado con todas las conexiones a datos de tarjetahabiente, incluyendo cualquier red inalámbrica a Verificar que el diagrama de red actual (por ejemplo, uno que muestre los flujos de datos de tarjetahabiente en la red) existe y que documenta todas las conexiones a datos de tarjetahabiente Diagrama de red actualizado que muestra todos los flujos de datos de tarjetahabiente a través de sistemas y redes Mostrar todos los flujos de datos de tarjetahabiente a través de sistemas y redes SNMP v1 and v2 se consideran inseguros Archivos de configuración de routers asegurados de accesos no autorizados Implementar medidas anti-spoofing para detectar y bloquear IPs fuentes falsificadas 1.4 BYOD, mejor redacción, buscando consistencia

23 Novedades: Requerimiento 2 Guías de Hardening 2.1 Siempre cambie los valores default entregados por los fabricantes y remueva o deshablite cuentas default innecesarias antes de instalar un sistema en la red. Esto aplica a TODOS los passwords default, incluyendo pero no limitados a aquellos usados en Sistemas operativos, software que provee servicios de seguridad, aplicaciones y cuentas de sistema, terminales POS, cadenas SNMP, etc 2.2.d Verificar que los estándares de configuración incluyen los siguientes procedimientos para todos los tipos de componentes de sistema: Cambio de todos los valores default suministrados por los fabricantes y eliminación de cuentas default innecesarias Implementación de solo una función principal por servidor Habilitar solo servicios necesarios, protocolos, etc Remover todas las funcionalidades innecesarias, tales como scripts, drivers, propiedades, subsistemss, file systems, y servidores web innecesarios 2.4 Mantener un inventario de componentes de sistema que están en el alcance de PCI DSS, para soportar el desarrollo e implementación de los estándares de configuración Novedades: Requerimiento No almacene datos sensibles de autenticación después de la autorización (incluso si están cifrados) Si datos sensibles de autenticación son recibidos, deje todos estos datos irrecuperables (unrecoverable) tras el proceso completo de autorización 3.2.c. Si datos sensibles de autenticación son recibidos, revisar las políticas y procedimientos, y examinar las configuraciones de los sistemas para verificar que los datos no son retenidos después de la autorización 3.3.a Examinar las políticas y procedimientos para enmascarar el despliegue de PANs para verificar: Una lista de roles que necesitan acceso a despliegues de full PANs está documentada, junto con una necesidad legítima de negocio para cada rol que tiene dicho acceso.

24 Novedades: Requerimiento 4 Ejemplos de redes públicas abiertas incluyen pero no están limitadas a Internet Tecnologías Wireless ( y Bluetooth ) Tecnologías de Cellular, por ejemplo Global System for Mobile communications (GSM), Code division multiple access (CDMA) General Packet Radio Service (GPRS). Comunicaciones satelitales Novedades: Requerimiento 5 Requerimiento 5: Utilice y regularmente actualice el software o los programas anti-virus Requerimiento 5: Proteja todos los sistemas contra malware y regularmente actualice el software o los programas anti-virus Para aquellos sistemas que se consideran no ser generalmente afectados por software malicioso, desempeñe evaluaciones periódicas para identificar y evaluar amenazas de malware evolucionadas, para confirmar si dichos sistemas continuan ó no requiriendo software anti-virus 5.3 Asegurarse que los mecanismos de anti-virus estén activos continuamente y no pueden ser deshabilitados ó alterados por los usuarios. Soluciones AV pueden ser temporalmente deshabilitados si hay necesidad técnica legítima, y debe haber autorización previa.

25 Banking Trojans A propósito de datos sensibles manejados en memoria Memory-parsing software (RAM scraper) DEXTER STARDUST BLACKPOS KAPTOXA ALINA JACKPOS

26 Patching y Nuevas Vulnerabilidades Cambió el órden: 6.1 y Proceso para identificar vulnerabilidades de seguridad, usando fuentes externas confiables y asignar un ranking a las nuevas vulnerabilidades descubiertas Ranking de Vulnerabilidades (CVSS) Implicaciones del EOL de Windows XP

27 Novedades: Requerimiento Nota: esto aplica a todo el software desarrollado internamente así como software desarrollado por un tercero (bespoke or custom software) 6.5.c Registros de entrenamiento para verificar que los desarrolladores de software recibieron entrenamiento en técnicas de codificación segura, incluyendo como evitar vulnerabilidades de seguridad comunes y entiendan como los datos sensibles son manejados en memoria Coding techniques document how PAN/SAD is handled in memory, to minimize potential exposure. Novedades: Requerimiento Broken authentication and session management 6.6 Para public-facing web applications Métodos: Flagging session tokens (por ejemplo cookies) as secure No exponer session IDs en el URL Incorporar time-outs adecuados y rotación de session IDs después de login exitosos Métodos manuales o automáticos de valoración de vulnerabilidades a aplicaciones Nota: Diferente al Instalar una solución técnica que detecte y evite ataques basados en web (por ejemplo, un web-application firewall)

28 CERT/CC SEI (Software Engineering Institute) y su relación con PCI DSS Requerimiento 6.5 CERT Secure Coding Novedades: Requerimiento 8 Requerimiento 8: Asignar un Único ID a cada persona con acceso a computadores Requerimiento 8: Identificar y autenticar accesos a los componentes de sistema El término Password se ha cambiado a Credenciales de Autenticación Cambió Password a Passwords/Phrases Criptografía fuerte debe ser usada para dejar las credenciales de autenticación ilegibles durante la transmisión y el almacenamiento Verificar la identidad del usuario antes de modificar cualquier credencial de autenticación por ejemplo, reseteo de Password, proveer un nuevo token, generar nueva llave, etc.

29 Acceso Remoto de Proveedores Habilitar cuentas usadas por Vendors para acceder remotamente solo durante el periodo de tiempo necesario. Monitoree las cuentas de acceso remoto de los Vendors cuando sean usadas Requerimiento adicional para proveedores de servicio: Los Proveedores de Servicio con acceso remoto a instalaciones del cliente (por ejemplo, para soporte a sistemas POS o servidores) deben usar una única credencial de autenticación (tal como password/phrase) para cada cliente Gestione los IDs usados por los Vendors para acceder, soportar o mantener componentes de sistema via acceso remoto, de la siguiente manera: Activelas solo durante el tiempo necesario y deshabilitelas cuando no se estén usando Monitoree cuando se usen Passwords/Phrases 8.3 Combinó la complejidad mínima para passwords y fortaleza en un único requerimiento, e incrementó la flexibilidad respecto a alternativas que sean equivalentes a la complejidad y fortaleza: Longitud mínima 7 caracteres Contener caracteres numéricos y alfabéticos De manera alterna, los passwords/phrases deben tener complejidad y fortaleza, al menos equivalente a los parámetros arriba especificados

30 Novedades: Requerimiento Comunicar las políticas y procedimientos de autenticación a todos los usuarios que tienen acceso a CHD 8.4 Documentar y comunicar las políticas y procedimientos de autenticación a todos los usuarios incluyendo: Guía sobre seleccionar credenciales de autenticación fuertes Guía sobre como los usuarios deben proteger sus credenciales de autenticación Instrucciones para no reutilizar passwords previamente usados Instrucciones para cambiar passwords si hay sospechas que el password pudo ser comprometido Novedades: Requerimiento Control de Acceso Físico para personal en sitio a las áreas sensibles, de esta manera: Acceso debe ser autorizado y basado en la función del individuo Acceso es revocado inmediatamente al terminar el empleo, y todas las llaves, tarjetas de acceso y mecanismos de acceso físico deben ser regresados o deshabilitados

31 Novedades: Requerimiento Proteger de alteración y sustitución los dispositivos que capturan CHD vía interacción directa con la tarjeta 9.9 Examinar políticas y procedimientos documentados para verificar que estos incluyan: Mantenimiento de una lista de dispositivos Inspeccionar periodicamente dispositivos para buscar manipulaciones o sustituciones Entrenar al personal para que sepan identificar comportamientos sospechosos y para reportar las alteraciones o sustituciones de los dispositivos Suplemento

32 Novedades: Requerimiento 10 Generación de Logs Protección de Logs Revisión de Logs Archivado de Logs Uso de mecanismos de identificación y autenticación Uso de y cambios a los mecanismos de identificación y autenticación incluyendo pero no limitado a la creación de nuevas cuentas o elevación de privilegios- y todos los cambios, adiciones o borrados de cuentas con privilegios administrativos o tipo root Novedades: Requerimiento Inicialización de los logs de auditoría Inicialización, apagado o pausa de los logs de auditoría Revisión de logs al menos diariamente: Todos los eventos de seguridad Logs de todos los componentes de sistema que almacenan, procesan o transmiten CHD y/o SAD, o que pueden impactar la seguridad del CHD y/o SAD Logs de todos los componentes de sistema críticos Logs de todos los servidores y componentes de sistema que desempeñan funciones de seguridad Revisión de logs periódica de otros componentes de sistema basado en las políticas y estrategia de gestión de riesgos, como se determinó en la valoración anual de riesgos

33 Novedades: Requerimiento Mantener un inventario de los access points inalámbricos autorizados incluyendo la justificación de negocio documentada 11.2 Nota: Múltiples reportes de escans pueden ser combinados que muestren que todos los sistemas fueron escaneados y que las vulnerabilidades aplicables fueron resueltas. Pen Testing (tests de intrusión) 11.3 Implementar una metodología para pruebas de penetración (intrusión) que incluya lo siguiente: Basada en enfoques de industria (por ejemplo, NIST SP ) Que cubra el perímetro completo del CDE y los sistemas críticos Incluya pruebas tanto desde adentro como afuera de la red Incluya pruebas para validar cualquier segmentación y controles de reducción de alcance Penetrations testing para verificar que la segmentación sigue siendo efectiva y está operando, y se mantiene el aislamiento de sistemas fuera del alcance Defina las pruebas de penetración a la capa de aplicación, como mínimo las vulnerabilidades del requerimiento 6.5

34 Metodologías de Pen Testing Novedades: Requerimiento Despliegue de mecanismos de detección de cambios (por ejemplo herramientas FIM) para alertar al personal de modificaciones no autorizadas de archivos de sistema críticos,..; y configurar el software para ejecutar la comparación al menos semanalmanete Implementar un proceso para responder a cualquier alerta generada por la solución de detección de cambios

35 Novedades: Requerimiento Proceso de valoración de Riesgos Al menos anualmente o tras cambios significativos en el ambiente (fusiones, reubicación, etc) Novedades: Requerimiento Mantener información sobre cuales requerimientos PCI DSS son gestionados por cada proveedor de servicio, y cuales son gestionados por la entidad 12.9 Requerimiento adicional para los proveedores de servicio: Los proveedores de servicio reconocen por escrito a sus clientes, que ellos son responsables por la seguridad de los datos de tarjetahabiente que el proveedor posee, o almacena, procesa o transmite en nombre del cliente, o al grado en que ellos puedan impactar la seguridad del CDE del cliente (Alineado con )

36 Aclaración: Requerimiento Para personal accediendo a CHD via tecnologías de acceso remoto, prohiba el copiar, mover y almacenar CHD en discos duros locales y medios electrónicos removibles a menos que esté explíctamente autorizado para una necesidad de negocio definida Any such authorized personnel are responsible for ensuring that cardholder data in their possession is handled in accordance with all PCI DSS requirements, as that remote personnel s environment is now considered a part of the organization s cardholder data environment. CONSIDERACIONES FINALES Determine con Precisión el Alcance y actualice flujos de CHD El Cumplimiento es resultado de la Seguridad (Integración con un SGSI) Aunque haya tiempo, adopte PCI 3.0 lo más pronto posible Aproveche los recursos del PCI Security Standards Council Un Estándar de Seguridad lo suficientemente maduro, que ha ayudado en la reducción de fugas y fraudes

37 CONSIDERACIONES FINALES PCI DSS es el vehículo, no el destino PCI DSS es la brújula no el mapa R. Fabian Garzón, CISSP, GCIA, + fabian.garzon@iqcol.com Gracias