Objetivo Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue Retos asociados con la validación de cumplimiento de PCI DSS en un entorno de nube. Consideraciones de seguridad empresarial y técnica para el uso de tecnologías en la nube. Recomendaciones para el inicio de las discusiones acerca de los servicios de nube.
Comprensión del entorno Analizar Planificar Documentar
Comprensión del entorno Conocer las necesidades de aplicación para el Negocio Identificar los riesgos y requerimientos de control Seleccionar plataforma y estándar de evaluación Modelos de servicio
Comprensión del entorno IaaS PaaS SaaS
Comprensión del entorno Aplicación Plataforma Infraestructura Virtualización Recursos físicos Hardware Software Conectividad IaaS Desarrollo Despliegue de Aplicaciones del Cliente PaaS Servicio Soporte Aplicaciones del Proveedor SaaS
Definiciones Alcance de responsabilidad Cliente/Proveedor por tipo de servicio IaaS Datos Software y aplicaciones de usuarios Sistemas operativos y bases de datos Infraestructura Virtual PaaS SaaS Hardware e infraestructura de red Data Center (instalaciones físicas, infraestructura de seguridad, energía)
Responsabilidades en el cumplimiento Alcance del servicio MARCO CONTRACTUAL Alcance de responsabilidades Alcance de los controles Gestión del servicio Tratamiento de datos Gestión de registros Gestión de componentes del servicio (Documentación y RRHH)
Responsabilidades en el cumplimiento Las responsabilidades delineadas entre el Cliente y el CSP para la gestión de los controles de PCI DSS están influenciados por un determinado número de variables : Finalidad para la que el cliente está utilizando el servicio de nube. Ámbito de aplicación de los requisitos de PCI DSS que el cliente externaliza en el CSP. Los servicios y componentes de los procesos de ejecución que el CSP ha validado dentro de sus propias operaciones. La opción de servicio que el cliente ha seleccionado para contratar al CSP ( IaaS, PaaSo SaaS). El alcance de los servicios adicionales que el CSP proporciona al Cliente de forma proactiva para completar el cumplimiento (por ejemplo, servicios gestionados de seguridad).
Responsabilidades en el cumplimiento Ejemplo de asignación de responsabilidad en la gestión de los Requisitos PCI DSS controles IaaS SaaS PaaS Instalar y mantener una configuración de firewall para proteger los datos del titular Ambos Ambos CSP No utilizar las contraseñas por defecto provistas por los fabricantes de los sistemas y otros parámetros de seguridad Ambos Ambos CSP Proteger el almacenamiento de los datos de titulares de tarjetas Ambos Ambos CSP Codificar la transmisión de los datos de titulares de tarjetas a través de redes públicas abiertas Cliente Ambos CSP Utilizar y actualizar regularmente el software antivirus y demás programas asociados con la seguridad y software de base Cliente Ambos CSP Desarrollar y mantener sistemas y aplicaciones seguras Ambos Ambos Ambos Restringir el acceso a los datos de titulares de tarjetas solo para aquellas personas del Negocio que tienen necesidad de conocerlos Ambos Ambos Ambos Asignar un único ID para cada persona que tenga acceso a una computadora Ambos Ambos Ambos Restringir el acceso físico a datos de titulares de tarjetas CSP CSP CSP Rastrear y monitorear todo el acceso a los recursos de red y datos de titulares de tarjetas Ambos Ambos CSP Probar regularmente los sistemas de seguridad y sus procesos Ambos Ambos CSP Mantenga una política que aborde la seguridad de la información para todo el personal Ambos Ambos Ambos
Responsabilidades en el cumplimiento Espacio Físico Proveedor Gestión de Riesgo Gobierno Gestión de Riesgo Espacio Físico Cliente Componentes Virtuales Enlaces IaaS PaaS SaaS Enlaces Componentes Virtuales Componentes Físicos Usuario Final Componentes Físicos Educación Educación Cumplimiento
Seguridad y Tecnología Seguridad como Servicio ( SecaaS) Managed Security Service Provider (MSSP) Security Information and Event Management Implementation Guidance BCDR Implementation Guidance Encryption Implementation Guidance Intrusion Management Implementation Guidance Security Assessments Implementation Guidance Email Security Implementation Guidance Web Security Implementation Guidance Data Loss Prevention Implementation Guidance Network Security Implementation Guidance Identity and Access Management Implementation Guidance https://cloudsecurityalliance.org/research/secaas/?r=54#_downloads
Seguridad y Tecnología Segmentación de ambientes Segmentada Solo para mí Servidores físicamente separados por cliente. Servidores virtualizados de dedicación individual para un cliente en particular, incluidos los discos virtuales Entornos donde cada cliente ejecuta sus aplicaciones en particiones lógicas separadas y no comparten almacenamiento en disco u otros recursos. No-segmentada Compartida con otros La misma imagen de la aplicación en el mismo servidor, sólo separados por el control de acceso del SO o la App Diferentes imágenes de una aplicación en el mismo servidor, sólo separados por el control de acceso del SO o la App. Datos almacenados en la misma instancia de gestión de bases de datos.
Seguridad y Tecnología Controles de segmentación Firewalls físicos y segmentación de red a nivel de infraestructura Los firewalls en el hipervisor y a nivel de máquinas virtuales Etiquetado VLAN o zonificación, además de firewalls Los sistemas de prevención de intrusiones en el hipervisory/o a nivel de máquina virtual para detectar y bloquear el tráfico no deseado Herramientas de prevención de pérdidas de datos en el hipervisory/o nivel de máquina virtual Controles para evitar que las comunicaciones se propaguen hacia la infraestructura subyacente El aislamiento de los procesos y recursos de entornos de clientes compartidos Almacenamiento de datos separado para cada cliente Autenticación fuerte de dos factores La separación de funciones y la supervisión administrativa Registro continuo y vigilancia del tráfico perimetral, y la respuesta en tiempo real
Retos para el cumplimiento Falta de visibilidad de la infraestructura subyacentedel CSP y los controles relacionados con la seguridad Poca o ninguna supervisión o control sobre almacenamiento de datos de los tarjetahabientes Algunos componentes virtuales no tienen el mismo nivel de control de acceso, registro y seguimiento que sus contrapartes físicas. Falta de restricciones en los límites perimetrales entre entornos de cliente Puede ser difícil de reunir, correlacionar y/o archivar todos los registros necesarios para cumplir con los requisitos de PCI DSS. Fallas en las herramientas de control ya que en un entorno de nube puede ser difícil de realizar verificaciones y puede dar lugar a resultados incompletos. Los grandes proveedores podrían no permitir el derecho a la auditoría a sus clientes.
Retos para el cumplimiento Consideraciones a tener en cuenta como Cliente: Por cuánto tiempo ha estado el CSP compatible con PCI DSS? Cuándo fue su última validación? Qué servicios específicos y los requisitos de PCI DSS fueron incluidos en la validación? Qué servicios específicos y componentes del sistema se incluyen en la validación? Qué procesos de servicio del CSP no se incluyeron en la validación PCI DSS? Cómo se asegura el CSP el cumplimiento PCI DSS por parte de los Clientes para evitar que introduzcan componentes no compatibles con el medio ambiente o anular los controles?
Gobernabilidad, Riesgo y Cumplimiento Tecnología y Operaciones Proyectos y procesos funcionales Reingeniería de riesgos Actividades y controles consolidados Verificación del proveedor (debida diligencia) Acuerdos de Nivel de Servicio ( SLAs ) Planes de Continuidad del Negocio y Recuperación de Desastres Recursos humanos
Gobernabilidad, Riesgo y Cumplimiento Extremos de responsabilidad Cliente / Proveedor IaaS PaaS SaaS Datos Hardware e infraestructura de red Data Center (instalaciones físicas, infraestructura de seguridad, energía) AHORRO Gobierno Gestión de Riesgo Reinvertir en controles Educación Cumplimiento
Entorno físico Control de Acceso Afecta a la confidencialidad, Integridad y Disponibilidad de los datos Control Ambiental Afecta al rendimiento y la integridad de la prestación del servicio.
Consideraciones legales Propiedad de los datos y los posibles conflictos entre las exigencias legales y reglamentarias nacionales o internacionales Requisitos para la registración electrónica, la preservación y la integridad de las pruebas, y la custodia de datos Procesos documentados para responder a las peticiones legales y Auditorías (registros de auditoría propios y de sus clientes)
Seguridad de los datos Adquisición de Datos (mapeo de los datos) Clasificación de Datos Almacenamiento de datos Gestión del ciclo de vida Cifrado y gestión de claves de cifrado Puesta fuera de servicio y eliminación Ayuda a identificar donde cada entidad adquiere y cede los datos y cuales son sus responsabilidades en todo el proceso Si los procesos de seguridad de datos no están claramente definidos y documentados se puede exponer negativamente la información
Seguridad técnica La evolución de las tecnologías de seguridad en virtualización Gestión de identidades y de acceso Registro y ficheros de auditoría Acceso Hypervisor y componentes internos Seguridad de interfaces y APIs Seguridad de Sistemas Cliente Control de ambientes compartidos
Incidentes y forencia incluir los requisitos de notificación entre el cliente y el proveedor en los planes de respuesta a incidentes Incluir los procesos y los plazos de notificación en los SLA Incluir la potencial solicitud de información, registros y evidencias al CSP durante la investigación Incluir el proceso de custodia particular para este tipo de servicio, por ejemplo ante desconexiones de VMso cualquier otro recurso virtual
Conclusiones Equipos Multidiciplinarios Controlar Preguntar Documentar Comparar
La Guía y sus apéndices Apéndice A: Responsabilidades PCI DSS para diferentes modelos de servicio -Consideraciones adicionales para ayudar a determinar las responsabilidades de PCI DSS a través de diferentes modelos de servicios cloud. Apéndice B : Inventario -Presenta un inventario modelo del sistema para entornos de cloud computing. Apéndice C : Matriz de Responsabilidades PCI DSS - Presenta una matriz de muestra para documentar cómo se asignan las responsabilidades entre el proveedor de la nube y el cliente. Apéndice D: Implementación PCI DSS -Propone un conjunto inicial de preguntas que pueden ayudar a determinar cómo los requisitos de PCI DSS se pueden cumplir en un entorno de nube particular. https://www.pcisecuritystandards.org/pdfs/pci_dss_v2_cloud_guidelines.pdf
MUCHAS GRACIAS Gobierno de los datos en la nube para el cumplimiento PCI-DSS Universidad del CEMA - Auditorio Principal Buenos Aires Argentina (2013) Fabián Descalzo Gerente de Governance, Risk & Compliance (GRC) fdescalzo@cybsec.com