CONCEPTO SOBRE EL CUMPLIMIENTO DE LA NORMA PCI DSS EN LOS PROVEEDORES DE TELECOMUNICACIONES

Transcripción

1 Respecto al Cumplimiento de la norma PCI DSS por parte de los Proveedores de Servicios de Telecomunicaciones (Telecommunications Companies/Telco or Carriers) Objetivo Orientar a las organizaciones en cuanto a las implicaciones, consideraciones y requisitos del cumplimiento de la norma PCI DSS versión 2.0 en los proveedores de enlaces de telecomunicaciones. Debido a una aparente zona gris y ambigüedad en torno a la aplicación de la norma PCI DSS en los enlaces considerados privados y en las empresas de telecomunicaciones que brindan el servicio de estos enlaces privados, motivó a IQ INFORMATION QUALITY a desarrollar el presente documento técnico. Dirigido a Personal con conocimiento de la norma PCI DSS y que está encargado del cumplimiento de la misma al interior de la organización. Planteamiento PCI DSS aplica a organizaciones que almacenan, procesan y/o transmiten datos de tarjetahabiente. Este concepto y la acción de transmitir nos llevaría a pensar inicialmente que a las compañías de telecomunicaciones contratadas por la organización interesada en cumplir con la norma PCI DSS les aplica directamente y sin lugar a discusión la norma PCI DSS, porque por sus circuitos, enlaces y nodos (switches MPLS, multiplexores, switches Frame Relay, nodos SDH de transporte, concentradores Metro DWDM, Media Gateways MPLS, etc.) viajan los datos de tarjetahabiente enviados por los distintos y posibles enlaces usados entre agencias, sucursales, empresas socias, cajeros automáticos, entre otros. Para la aplicación de PCI DSS en este tipo de organizaciones conocidas como Telcos (Compañías de Telecomunicaciones), el PCI Security Standards Council (PCI SSC) ha emitido unas aclaraciones importantes tanto en el glosario de términos, abreviaciones y acrónimos, como en el entrenamiento dado a las personas certificadas como PCI QSAs. Premisa: Una compañía Telco ofrece un variado portafolio de servicios en la actualidad como: Hosting, Colocation, MSSP, MSP, Call Center, IP Telephony, Outsourcing de Help Desk, ISP, entre otros. Pero para este documento específico, nos estamos refiriendo al servicio de enlace de datos, es decir el servicio de enlace de comunicaciones que generalmente son: IP MPLS, líneas dedicadas (leased lines/clear channel), Metro Ethernet, y en menor medida Frame Relay. Nótese que no se mencionan enlaces tipo GSM/GPRS, Internet, Wireless (outbound, Inbound); a pesar de que son enlaces ofrecidos por las mismas empresas Telcos, éstos tienen una condición especial por ser consideradas redes abiertas públicas; este tema específico de redes abiertas públicas, se tratará más adelante en este documento.

2 En el glosario de la norma PCI DSS 1, para el término Proveedor de Servicio, está la siguiente línea: Entidades tales como compañías de telecomunicaciones que solo proveen enlaces de comunicación sin acceso a la capa de aplicación del enlace de comunicación, son excluidos del cumplimiento de la norma. Esta anterior frase nos lleva a intentar determinar cuáles son esos escenarios o casos en que un proveedor Telco sólo ofrece enlace/circuito de comunicación, y a su vez no accede a la capa de aplicación del enlace de comunicación. Si se interpreta de forma literal y absoluta, entonces ningún Telco en el mundo podría ser excluido del cumplimiento de la norma PCI DSS, porque todo Telco podría acceder a la capa de aplicación de los enlaces de comunicaciones (con sus herramientas de gestión, monitoreo, sniffing, netflow, etc). Y la única forma de no acceder a dichos datos, es que la información esté cifrada sobre los enlaces de comunicaciones, independiente del tipo de enlace (MPLS, Frame Relay, Leased). Pero, si lo anterior fuera así, tomado de forma literal y absoluta, entonces el requerimiento 4.1 de la norma PCI DSS no solamente aplicaría a redes abiertas públicas, sino a cualquier tipo de enlace, y el PCI SSC ha manifestado que enlaces dedicados y redes MPLS no se consideran redes abiertas públicas, por lo tanto no aplica el cifrado exigido en el numeral 4.1. En el FAQ del PCI SSC se expresa lo siguiente: Article #:5371: Are digital leased lines considered public or private? For PCI DSS requirement 4.1, digital leased lines are considered to be private since they are dedicated to the individual customer's traffic Article #: 8705: Is MPLS considered a private or public network when transmitting cardholder data? In general, MPLS networks are considered private networks and do not require encryption. This, however, is dependent upon the specific provider and/or configuration. If the IP addresses are public and the MPLS network provides exposure to the Internet either through the LSR or other device (if the edge router has an Internet port) then it should be reviewed carefully as it is likely considered untrusted. The QSA should review the implementation and determine whether the IP addresses are public such that the MPLS network provides exposure to the Internet, before concluding that the MPLS network is considered private. If the QSA cannot gain that assurance, then the whole network should be in scope. The PCI SSC is not compiling a list of approved MPLS solutions nor do they have any plans to do so. This requirement for encrypted transmissions is intended to apply to transmissions outside of an internal network to an external third party, going over an open, public network; this requirement does not apply to transmissions over an internal network protected by external facing firewalls, since that is not considered a public network. Las empresas de telecomunicaciones que ofrecen los enlaces a Internet, es decir las empresas ISPs, definitivamente no les aplica la norma PCI DSS, pues la organización que contrata y usa Internet para transmitir datos de tarjetahabiente, debe cifrar todas sus transmisiones que viajen por esta red pública. 1

3 Regresemos nuevamente a la frase que merece nuestro análisis: Entidades tales como compañías de telecomunicaciones que sólo proveen enlaces de comunicación sin acceso a la capa de aplicación del enlace de comunicación, son excluidos del cumplimiento de la norma. Es simple y el PCI SSC ha sido claro en esto, tanto en los Case Study tratados en el entrenamiento que hemos recibido los PCI QSA año a año, e incluso en el PCI Security Meeting a los que hemos tenido la oportunidad de asistir: si la compañía de telecomunicaciones sólo provee el circuito, pero no provee ni administra otros servicios, entonces está fuera del alcance PCI DSS. En el momento en que el Telco vaya más allá de este método básico de transporte, entraría al alcance PCI DSS. En términos técnicos, la compañía de telecomunicaciones (Telco ó carrier) provee el circuito y le entrega a su cliente los equipos terminales CSU/DSU, y el cliente se encarga de conectar sus propios routers (equipo terminal DTE). Es decir, el cliente que contrata el enlace a la compañía de telecomunicaciones (Telco) configura, administra y mantiene el router. Mientras que el Telco se encarga del circuito, enlace o medio de transporte. Pero si la empresa de telecomunicaciones, además de proveer el circuito y entregar el terminador del enlace, también provee, configura y administra el router (direccionamiento IP, enrutamiento, interfaces, subnetting, vlans, filtros, QoS, etc.), entonces el Telco está yendo más allá del circuito/enlace y le aplica la norma PCI DSS en dichos componentes de sistema, en este caso los routers. Por qué el PCI SSC decidió que las compañías de telecomunicaciones que solo proveen enlaces de comunicación fueran excluidos del cumplimiento de la norma PCI DSS? El intento de darle respuesta a la anterior pregunta es basado en indicios, observaciones y experiencias en el terreno de la seguridad de la información, pero no son declaraciones formales del PCI SSC. Se parte del hecho que un proveedor de servicio es una organización directamente involucrada en el procesamiento, almacenamiento ó transmisión de datos de tarjetahabiente. Esta anterior definición está en el glosario de la norma PCI DSS v2.0 El primer análisis nos lleva a concluir que un Telco que sólo provee enlaces de comunicaciones, no es una organización directamente involucrada en la transmisión de datos de tarjetahabiente. Resaltamos la palabra directamente, porque un Telco realmente transmite datos en general, tráfico IP; su misión no está directamente involucrada con transmisión de datos de tarjetahabiente, cómo si es la misión de adquirentes, procesadores, pasarelas de pago, etc. En segunda instancia, que el PCI SSC haya considerado excluir a los Telco (Compañías de telecomunicaciones) del cumplimiento PCI DSS puede estar dado por el segundo criterio que define a un Proveedor de servicio, es decir: compañías que proveen servicios que pueden controlar o pueden impactar la seguridad de los datos de tarjetahabiente (este criterio también está en el glosario, en la definición de proveedor de servicio). Es posible que el PCI SSC haya considerado que los Telcos no controlan ni pueden impactar la seguridad de los datos de tarjetahabiente, porque quizá los datos sobre los enlaces o canales privados ofrecidos por los Telcos

4 no pueden ser interceptados, modificados y/o desviados mientras están en tránsito, como si pudiera suceder en una red pública abierta (ej. Internet, Wireless, GSM/GPRS). También es posible, más no está comprobado, que el PCI SSC haya determinado que como a la fecha no hay casos conocidos de incidentes, brechas y compromisos que hayan implicado Telcos que ofrecen solamente los enlaces de comunicaciones, entonces se optó por su exclusión de la norma PCI DSS. Como profesionales de la seguridad de la información sabemos que en un enlace de comunicaciones, así no se considere red pública, también el tráfico puede ser interceptado, alterado y/o desviado; lo que pasa es que el PCI SSC en el título del requerimiento 4 menciona que los datos se deben cifrar durante la transmisión sobre redes que son fácilmente accesibles por individuos maliciosos, y los ejemplos de las redes que ellos consideran fácilmente accesibles por individuos maliciosos son las públicas (Internet, Wireless, GSM/GPRS), pero no menciona nada sobre las redes consideradas privadas (MPLS, Leased lines) y que en los FAQ, como ya lo mencionamos anteriormente, no les aplica el cifrado. Otra eventual razón que haya llevado al PCI SSC a excluir a los Telcos (que sólo proveen enlaces de comunicación) del cumplimiento de la norma PCI DSS, es que en un enlace de comunicaciones (sea Frame Relay, Leased Lines, MPLS) hay muchos y variados componentes intermedios, como son: Gateways, Multiplexores, tarjetas tipo carrier, switches MPLS y Metro, equipos de backhoul, SDH ADMs, repetidores, etc, etc. Entonces supongamos la implementación del cumplimiento PCI DSS en todos estos componentes de transporte de datos, y su posterior validación en sitio, sería una labor titánica. Reiteramos que los anteriores comentarios son solo conjeturas que tratan de explicar la exclusión de Telcos del cumplimiento PCI DSS. Como dato curioso, la red PSTN (Public Switched Telephone Network) no se considera red pública, a pesar de la P de Public; y la pista más importante es que el SAQ (Autoformulario) tipo B, dirigido a Comercios que usan terminales POS standalone dial up (conexión telefónica) no incluye el requerimiento 4.1. Comentarios sobre la Seguridad y el Cumplimiento: Considerar una red o enlace privado (ej, MPLS, Leased Line) como seguro, no es adecuado desde el punto de vista de seguridad, porque en este tipo de enlaces también existen riesgos, por eso se recomienda su cifrado, a pesar de que no es exigencia de la norma PCI DSS. Si bien, desde el punto de vista de cumplimiento PCI DSS a los Telcos se le excluyan del cumplimiento, las organizaciones que contratan servicios de comunicaciones con los Telcos deben prever los potenciales riesgos y buscar formas de mitigarlos. Al contratar un Telco, además de las condiciones típicas en los contratos sobre los acuerdos de niveles de servicio por disponibilidad del canal, deben existir condiciones adicionales referentes a la confidencialidad de la información y las responsabilidades en caso de accesos no autorizados a la información que viaja por esos canales.

5 A pesar que lo publicado en el sitio web del PCI SSC (FAQ, normas, glosario, suplementos, grupos de interés especial SIGs) se considera oficial, y se usa como soporte para dirimir diferencias y controversias entre PCI QSAs, no siempre debe ser interpretado de forma literal, absoluta y como única perspectiva; pues hay asuntos que se deben visualizar desde el punto de vista de seguridad corporativa, los potenciales riesgos adicionales que la norma PCI DSS no mitiga, la dinámica del mercado, las nuevas amenazas y las exigencias regulatorias. El envío de datos de tarjetahabiente sobre redes consideradas privadas (Leased lines, MPLS) está sujeto a un riesgo de menor nivel comparado con el envío de datos de tarjetahabiente sobre redes abiertas públicas (Internet, etc.), así que tratar este riesgo sobre redes privadas es una actividad posterior que resulta de la madurez del proceso de la seguridad de la organización y no del cumplimiento de PCI DSS. Es posible que para una futura versión de la norma PCI DSS, cualquier enlace de comunicaciones por donde se transmitan datos de tarjetahabiente, sea privado o público, se deba cifrar, y no solamente por las redes públicas abiertas (Internet, WIFI, etc.) como se exige actualmente por la norma PCI DSS. Caso especial regulatorio: En Colombia ya se considera a los canales privados para conexiones WAN (entre socios, sucursales, agencias, oficinas, clientes, ATMs, proveedores, etc) como riesgosos para los datos de la reserva bancaria (que incluyen datos de tarjetahabiente). Por eso las empresas del sector financiero, especialmente bancos, redes de ATMs y adquirentes/procesadores, fueron obligados por la Superintendencia Financiera a cifrar sus enlaces privados WAN (sus conexiones con oficinas, agencias, POS, ATMs, proveedores). La compañía de telecomunicaciones (Telco) no debe tener las llaves de cifrado/descifrado, estas llaves son responsabilidad del cliente o empresa que ha contratado los servicios a la compañía de telecomunicaciones. Escrito por: R. Fabian Garzón. CISM, PCI QSA, CISSP, GSEC, GCIA, CCNA, CCNA Sec, + Consultor de IQ Information Quality Aviso legal: La información y demás conceptos preparados y entregados por la organización IQ INFORMATION QUALITY, tienen un fin exclusivamente informativo. La compañía es cuidadosa con la información dispuesta al público y a nuestros clientes, es el resultado de un análisis profesional y como tal se toman las medidas razonables para que la información que se suministra sea correcta y fiable. Sin embargo la compañía no garantiza que dicha información sea exacta, completa y actualizada por lo que en ningún caso nos hacemos responsables por el uso de dicha información o cualquier perjuicio que cause a quien de ella hace uso. El material y contenido de este white paper puede ser modificado, corregido y actualizado sin previo aviso.