CONCEPTO SOBRE EL CUMPLIMIENTO DE LA NORMA PCI DSS EN LOS PROVEEDORES DE TELECOMUNICACIONES



Documentos relacionados
Transport Layer Security (TLS) Acerca de TLS

Ayudantía Nro.3 Redes De Datos CIT Profesor: Cristian Tala

Semana 10: Fir Fir w e a w lls

Cumpliendo con las Reglas

Gestión de Permisos. Bizagi Suite. Copyright 2014 Bizagi

POLÍTICA DE PRIVACIDAD PARA APLICACIONES MÓVILES GRUPOCOPESA. 1. información que se obtiene la aplicación y su utilización

w w w. o v e r l i n k. c l

Copyright netlabs TUNA Preguntas Frecuentes (FAQ)

Health Republic Insurance Política de privacidad del sitio web

INSTALACIÓN, OPERACIÓN Y PROGRAMACIÓN DE EQUIPOS Y SISTEMAS TELEFÓNICOS

Estableciendo Conectividad con el AMM para la Entrega de Medicio n Comercial

Introducción a la Firma Electrónica en MIDAS

TPV VIRTUAL O PASARELA DE PAGOS DE CAJASTUR

CAPAS DEL MODELO OSI (dispositivos de interconexión)

Mismo que se adjunta en impreso y disco magnético, así como la síntesis del asunto.

AVISO DE PRIVACIDAD. Para qué fines utilizaremos sus datos personales?

UD 3: Implantación de técnicas de seguridad remoto. Seguridad perimetral.

Certificación. Contenidos 1. Implantación del SGSI. 2. Auditoría y certificación. 3. La entidad de certificación. 4.

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard)

PCI (industria de tarjetas de pago) Normas de seguridad de datos

Servicio de tecnología de voz IP VoIP. Jesús Torres Cejudo

SABERESQUERERSE.COM Términos y Condiciones

Principios de Privacidad y Confidencialidad de la Información

OPTIMA CONSULTING SAS

Ingrese al mundo de IFX networks

LIBERTY SEGUROS S.A. Política De Tratamiento de Datos Personales. Introducción

AGREGAR UN EQUIPO A UNA RED Y COMPARTIR ARCHIVOS CON WINDOWS 7

LIBERTY SEGUROS DE VIDA S.A. Política De Tratamiento de Datos Personales. Introducción

LA LIBERTAD COMPAÑÍA DE INVERSIONES Y SERVICIOS S.A.S

INFORME UCSP Nº: 2011/0070

Preguntas más frecuentes sobre PROPS

Soporte y mantenimiento. Generalidades

6. RESPONSABILIDADES DE LOS PRESTADORES DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

Gestión de Permisos. Documento de Construcción. Copyright 2014 Bizagi

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

SISTEMA DE GESTION DE CALIDAD Fecha: 31/08/2015 MANUAL DE TRATAMIENTO DE DATOS PERSONALES

CCNA 1 v3.0 Módulo 5 Cableado LANs y WANs Docente: Mg. Robert Romero Flores

CSIR2121. Administración de Redes I

ESCUELA NORMAL PROF. CARLOS A CARRILLO

DECLARACIÓN DE PRIVACIDAD DE FONOWEB

PRIMERA.- RESPONSABLE DEL TRATAMIENTO DE SUS DATOS PERSONALES. CECSAMEX S.A DE C.V

Redes de Nueva Generación Área de Ingeniería Telemática. Diseño del data center

ACTIVIDAD No. 2 REPASO DE REDES INFORMATICAS

TUTORIAL: Cómo hacer más segura nuestra red MAC OS X

Aviso Legal. Entorno Digital, S.A.

Presentada por: Lic. Pablo G. Milano CISSP / QSA / PA-QSA

FUNDAMENTOS DE COMPUTACION TECNOLOGIA VPN. Integrantes: Luis Mario Galarza, Andrés Santos P. INTRODUCCION ( QUE ES VPN?)

Qué ventajas tienen las cámaras ip frente a los sistemas de vigilancia CCTV tradicionales?

ACTIVIDAD No. 2 REPASO DE REDES INFORMATICAS

A continuación, se establece la política del WCEPS en relación con la recopilación y el uso de su información a través de este Sitio web.

Procedimiento. Actualización de Kit de Conexión de Comercios Webpay versión 5.X a Canales Remotos Operaciones. Transbank S.A.

MANUAL DE AYUDA HERRAMIENTA DE APROVISIONAMIENTO

MOTOR DE RESERVAS NET HOTELES V3.0 SIN COMISIÓN PARA ESTABLECIMIENTOS HOTELEROS.

GUÍA PARA REALIZAR PETICIONES RELACIONADAS CON TELEFONÍA IP A TRAVÉS DE LA OFICINA VIRTUAL

PCI (industria de tarjetas de pago) Normas de seguridad de datos

Security Health Check

TELECOMUNICACIONES Y REDES

CONCLUSIONES. De la información total que acabamos de facilitar al lector podemos realizar el siguiente resumen:

PUBLICACIÓN PAGINA WEB

Profesor Santiago Roberto Zunino. Página 1

CIF-KM. GUÍA DE LOS PRIMEROS PASOS

Pago de Facturas. Bizagi Suite. Copyright 2014 Bizagi

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación

Utilización del Acceso Remoto VPN. Ministerio del Interior N06

Dispositivos de Red Hub Switch

Es un conjunto de dispositivos interconectados entre si que comparten recursos y/o servicios como video, voz y datos a través de medios guiados, no

WINDOWS : SERVIDOR DHCP

Disposición complementaria modificada en Sesión de Directorio N del 15 de diciembre de 2014.

Jorge De Nova Segundo

SISTEMA ETAP en línea Estándares Tecnológicos para la Administración Pública

BPMN Business Process Modeling Notation

Servicios Iquall Networks

I. Por la presente adenda la CCB da respuesta a las preguntas formuladas en tiempo por los proponentes:

1. Qué tipo de información personal reúne Nestlé a través de este sitio en Internet y cómo lo recaba? ( gris bold)

A. Compromiso de Ecolab con la Protección de la Privacidad de Datos

DAVIDSON & CIA. LTDA. ASESORES DE SEGUROS

GRACIAS POR VISITAR ESTE SITIO DE INTERNET.

[VPN] [Políticas de Uso]

Acerca de EthicsPoint

PONENCIA DE ESTUDIO DE LAS NECESIDADDES DE RECURSOS HUMANOS EN EL SISTEMA NACIONAL DE SALUD

Redes de Computadores con Itinerancia Wi-Fi y VPN Redes de Computadores I ELO-322

POLITICA DE TRATAMIENTO DE DATOS PERSONALES

SYSMAN SOFTWARE. Soluciones efectivas

PARA COMERCIANTES Y AUTÓNOMOS. INFORMACIÓN SOBRE TARJETAS DE CRÉDITO.

POLÍTICAS DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES TELEVISORA DE COSTA RICA S.A.

GedicoPDA: software de preventa

PROCEDIMIENTO DE COMPRA DE MATERIAL Y SERVICIOS

POLITICA DE PRIVACIDAD.

Seminario Electrónico de Soluciones Tecnológicas sobre. Acceso a Internet. 1 de 12

Vicepresidencia de Regulación y Negocios con Operadores Bogotá D.C., Colombia Teléfono: Fax:

e-commerce, es hacer comercio utilizando la red. Es el acto de comprar y vender en y por medio de la red.

RESPUESTAS A OBSERVACIONES PRESENTADAS AL PROYECTO DE PLIEGO DE CONDICIONES:

Manual de Usuario FACTURA99 FACTURACIÓN. Factura99 FACTURA 99

INSTALACIÓN DE GATEWAYS SIP

BYOD - Retos de seguridad

Soporte y mantenimiento. Generalidades

SistemA Regional de Información y Evaluación del SIDA (ARIES)

I. DISPOSICIONES GENERALES

Iniciativa de Red Global Protegiendo y promoviendo la libertad de expresión y la privacidad en las tecnologías de información y comunicaciones

H O T E L W I N Configuración del motor de Reservas on line

Transcripción:

Respecto al Cumplimiento de la norma PCI DSS por parte de los Proveedores de Servicios de Telecomunicaciones (Telecommunications Companies/Telco or Carriers) Objetivo Orientar a las organizaciones en cuanto a las implicaciones, consideraciones y requisitos del cumplimiento de la norma PCI DSS versión 2.0 en los proveedores de enlaces de telecomunicaciones. Debido a una aparente zona gris y ambigüedad en torno a la aplicación de la norma PCI DSS en los enlaces considerados privados y en las empresas de telecomunicaciones que brindan el servicio de estos enlaces privados, motivó a IQ INFORMATION QUALITY a desarrollar el presente documento técnico. Dirigido a Personal con conocimiento de la norma PCI DSS y que está encargado del cumplimiento de la misma al interior de la organización. Planteamiento PCI DSS aplica a organizaciones que almacenan, procesan y/o transmiten datos de tarjetahabiente. Este concepto y la acción de transmitir nos llevaría a pensar inicialmente que a las compañías de telecomunicaciones contratadas por la organización interesada en cumplir con la norma PCI DSS les aplica directamente y sin lugar a discusión la norma PCI DSS, porque por sus circuitos, enlaces y nodos (switches MPLS, multiplexores, switches Frame Relay, nodos SDH de transporte, concentradores Metro DWDM, Media Gateways MPLS, etc.) viajan los datos de tarjetahabiente enviados por los distintos y posibles enlaces usados entre agencias, sucursales, empresas socias, cajeros automáticos, entre otros. Para la aplicación de PCI DSS en este tipo de organizaciones conocidas como Telcos (Compañías de Telecomunicaciones), el PCI Security Standards Council (PCI SSC) ha emitido unas aclaraciones importantes tanto en el glosario de términos, abreviaciones y acrónimos, como en el entrenamiento dado a las personas certificadas como PCI QSAs. Premisa: Una compañía Telco ofrece un variado portafolio de servicios en la actualidad como: Hosting, Colocation, MSSP, MSP, Call Center, IP Telephony, Outsourcing de Help Desk, ISP, entre otros. Pero para este documento específico, nos estamos refiriendo al servicio de enlace de datos, es decir el servicio de enlace de comunicaciones que generalmente son: IP MPLS, líneas dedicadas (leased lines/clear channel), Metro Ethernet, y en menor medida Frame Relay. Nótese que no se mencionan enlaces tipo GSM/GPRS, Internet, Wireless (outbound, Inbound); a pesar de que son enlaces ofrecidos por las mismas empresas Telcos, éstos tienen una condición especial por ser consideradas redes abiertas públicas; este tema específico de redes abiertas públicas, se tratará más adelante en este documento.

En el glosario de la norma PCI DSS 1, para el término Proveedor de Servicio, está la siguiente línea: Entidades tales como compañías de telecomunicaciones que solo proveen enlaces de comunicación sin acceso a la capa de aplicación del enlace de comunicación, son excluidos del cumplimiento de la norma. Esta anterior frase nos lleva a intentar determinar cuáles son esos escenarios o casos en que un proveedor Telco sólo ofrece enlace/circuito de comunicación, y a su vez no accede a la capa de aplicación del enlace de comunicación. Si se interpreta de forma literal y absoluta, entonces ningún Telco en el mundo podría ser excluido del cumplimiento de la norma PCI DSS, porque todo Telco podría acceder a la capa de aplicación de los enlaces de comunicaciones (con sus herramientas de gestión, monitoreo, sniffing, netflow, etc). Y la única forma de no acceder a dichos datos, es que la información esté cifrada sobre los enlaces de comunicaciones, independiente del tipo de enlace (MPLS, Frame Relay, Leased). Pero, si lo anterior fuera así, tomado de forma literal y absoluta, entonces el requerimiento 4.1 de la norma PCI DSS no solamente aplicaría a redes abiertas públicas, sino a cualquier tipo de enlace, y el PCI SSC ha manifestado que enlaces dedicados y redes MPLS no se consideran redes abiertas públicas, por lo tanto no aplica el cifrado exigido en el numeral 4.1. En el FAQ del PCI SSC se expresa lo siguiente: Article #:5371: Are digital leased lines considered public or private? For PCI DSS requirement 4.1, digital leased lines are considered to be private since they are dedicated to the individual customer's traffic Article #: 8705: Is MPLS considered a private or public network when transmitting cardholder data? In general, MPLS networks are considered private networks and do not require encryption. This, however, is dependent upon the specific provider and/or configuration. If the IP addresses are public and the MPLS network provides exposure to the Internet either through the LSR or other device (if the edge router has an Internet port) then it should be reviewed carefully as it is likely considered untrusted. The QSA should review the implementation and determine whether the IP addresses are public such that the MPLS network provides exposure to the Internet, before concluding that the MPLS network is considered private. If the QSA cannot gain that assurance, then the whole network should be in scope. The PCI SSC is not compiling a list of approved MPLS solutions nor do they have any plans to do so. This requirement for encrypted transmissions is intended to apply to transmissions outside of an internal network to an external third party, going over an open, public network; this requirement does not apply to transmissions over an internal network protected by external facing firewalls, since that is not considered a public network. Las empresas de telecomunicaciones que ofrecen los enlaces a Internet, es decir las empresas ISPs, definitivamente no les aplica la norma PCI DSS, pues la organización que contrata y usa Internet para transmitir datos de tarjetahabiente, debe cifrar todas sus transmisiones que viajen por esta red pública. 1 https://www.pcisecuritystandards.org/documents/pci_glossary_v20.pdf

Regresemos nuevamente a la frase que merece nuestro análisis: Entidades tales como compañías de telecomunicaciones que sólo proveen enlaces de comunicación sin acceso a la capa de aplicación del enlace de comunicación, son excluidos del cumplimiento de la norma. Es simple y el PCI SSC ha sido claro en esto, tanto en los Case Study tratados en el entrenamiento que hemos recibido los PCI QSA año a año, e incluso en el PCI Security Meeting a los que hemos tenido la oportunidad de asistir: si la compañía de telecomunicaciones sólo provee el circuito, pero no provee ni administra otros servicios, entonces está fuera del alcance PCI DSS. En el momento en que el Telco vaya más allá de este método básico de transporte, entraría al alcance PCI DSS. En términos técnicos, la compañía de telecomunicaciones (Telco ó carrier) provee el circuito y le entrega a su cliente los equipos terminales CSU/DSU, y el cliente se encarga de conectar sus propios routers (equipo terminal DTE). Es decir, el cliente que contrata el enlace a la compañía de telecomunicaciones (Telco) configura, administra y mantiene el router. Mientras que el Telco se encarga del circuito, enlace o medio de transporte. Pero si la empresa de telecomunicaciones, además de proveer el circuito y entregar el terminador del enlace, también provee, configura y administra el router (direccionamiento IP, enrutamiento, interfaces, subnetting, vlans, filtros, QoS, etc.), entonces el Telco está yendo más allá del circuito/enlace y le aplica la norma PCI DSS en dichos componentes de sistema, en este caso los routers. Por qué el PCI SSC decidió que las compañías de telecomunicaciones que solo proveen enlaces de comunicación fueran excluidos del cumplimiento de la norma PCI DSS? El intento de darle respuesta a la anterior pregunta es basado en indicios, observaciones y experiencias en el terreno de la seguridad de la información, pero no son declaraciones formales del PCI SSC. Se parte del hecho que un proveedor de servicio es una organización directamente involucrada en el procesamiento, almacenamiento ó transmisión de datos de tarjetahabiente. Esta anterior definición está en el glosario de la norma PCI DSS v2.0 El primer análisis nos lleva a concluir que un Telco que sólo provee enlaces de comunicaciones, no es una organización directamente involucrada en la transmisión de datos de tarjetahabiente. Resaltamos la palabra directamente, porque un Telco realmente transmite datos en general, tráfico IP; su misión no está directamente involucrada con transmisión de datos de tarjetahabiente, cómo si es la misión de adquirentes, procesadores, pasarelas de pago, etc. En segunda instancia, que el PCI SSC haya considerado excluir a los Telco (Compañías de telecomunicaciones) del cumplimiento PCI DSS puede estar dado por el segundo criterio que define a un Proveedor de servicio, es decir: compañías que proveen servicios que pueden controlar o pueden impactar la seguridad de los datos de tarjetahabiente (este criterio también está en el glosario, en la definición de proveedor de servicio). Es posible que el PCI SSC haya considerado que los Telcos no controlan ni pueden impactar la seguridad de los datos de tarjetahabiente, porque quizá los datos sobre los enlaces o canales privados ofrecidos por los Telcos

no pueden ser interceptados, modificados y/o desviados mientras están en tránsito, como si pudiera suceder en una red pública abierta (ej. Internet, Wireless, GSM/GPRS). También es posible, más no está comprobado, que el PCI SSC haya determinado que como a la fecha no hay casos conocidos de incidentes, brechas y compromisos que hayan implicado Telcos que ofrecen solamente los enlaces de comunicaciones, entonces se optó por su exclusión de la norma PCI DSS. Como profesionales de la seguridad de la información sabemos que en un enlace de comunicaciones, así no se considere red pública, también el tráfico puede ser interceptado, alterado y/o desviado; lo que pasa es que el PCI SSC en el título del requerimiento 4 menciona que los datos se deben cifrar durante la transmisión sobre redes que son fácilmente accesibles por individuos maliciosos, y los ejemplos de las redes que ellos consideran fácilmente accesibles por individuos maliciosos son las públicas (Internet, Wireless, GSM/GPRS), pero no menciona nada sobre las redes consideradas privadas (MPLS, Leased lines) y que en los FAQ, como ya lo mencionamos anteriormente, no les aplica el cifrado. Otra eventual razón que haya llevado al PCI SSC a excluir a los Telcos (que sólo proveen enlaces de comunicación) del cumplimiento de la norma PCI DSS, es que en un enlace de comunicaciones (sea Frame Relay, Leased Lines, MPLS) hay muchos y variados componentes intermedios, como son: Gateways, Multiplexores, tarjetas tipo carrier, switches MPLS y Metro, equipos de backhoul, SDH ADMs, repetidores, etc, etc. Entonces supongamos la implementación del cumplimiento PCI DSS en todos estos componentes de transporte de datos, y su posterior validación en sitio, sería una labor titánica. Reiteramos que los anteriores comentarios son solo conjeturas que tratan de explicar la exclusión de Telcos del cumplimiento PCI DSS. Como dato curioso, la red PSTN (Public Switched Telephone Network) no se considera red pública, a pesar de la P de Public; y la pista más importante es que el SAQ (Autoformulario) tipo B, dirigido a Comercios que usan terminales POS standalone dial up (conexión telefónica) no incluye el requerimiento 4.1. Comentarios sobre la Seguridad y el Cumplimiento: Considerar una red o enlace privado (ej, MPLS, Leased Line) como seguro, no es adecuado desde el punto de vista de seguridad, porque en este tipo de enlaces también existen riesgos, por eso se recomienda su cifrado, a pesar de que no es exigencia de la norma PCI DSS. Si bien, desde el punto de vista de cumplimiento PCI DSS a los Telcos se le excluyan del cumplimiento, las organizaciones que contratan servicios de comunicaciones con los Telcos deben prever los potenciales riesgos y buscar formas de mitigarlos. Al contratar un Telco, además de las condiciones típicas en los contratos sobre los acuerdos de niveles de servicio por disponibilidad del canal, deben existir condiciones adicionales referentes a la confidencialidad de la información y las responsabilidades en caso de accesos no autorizados a la información que viaja por esos canales.

A pesar que lo publicado en el sitio web del PCI SSC (FAQ, normas, glosario, suplementos, grupos de interés especial SIGs) se considera oficial, y se usa como soporte para dirimir diferencias y controversias entre PCI QSAs, no siempre debe ser interpretado de forma literal, absoluta y como única perspectiva; pues hay asuntos que se deben visualizar desde el punto de vista de seguridad corporativa, los potenciales riesgos adicionales que la norma PCI DSS no mitiga, la dinámica del mercado, las nuevas amenazas y las exigencias regulatorias. El envío de datos de tarjetahabiente sobre redes consideradas privadas (Leased lines, MPLS) está sujeto a un riesgo de menor nivel comparado con el envío de datos de tarjetahabiente sobre redes abiertas públicas (Internet, etc.), así que tratar este riesgo sobre redes privadas es una actividad posterior que resulta de la madurez del proceso de la seguridad de la organización y no del cumplimiento de PCI DSS. Es posible que para una futura versión de la norma PCI DSS, cualquier enlace de comunicaciones por donde se transmitan datos de tarjetahabiente, sea privado o público, se deba cifrar, y no solamente por las redes públicas abiertas (Internet, WIFI, etc.) como se exige actualmente por la norma PCI DSS. Caso especial regulatorio: En Colombia ya se considera a los canales privados para conexiones WAN (entre socios, sucursales, agencias, oficinas, clientes, ATMs, proveedores, etc) como riesgosos para los datos de la reserva bancaria (que incluyen datos de tarjetahabiente). Por eso las empresas del sector financiero, especialmente bancos, redes de ATMs y adquirentes/procesadores, fueron obligados por la Superintendencia Financiera a cifrar sus enlaces privados WAN (sus conexiones con oficinas, agencias, POS, ATMs, proveedores). La compañía de telecomunicaciones (Telco) no debe tener las llaves de cifrado/descifrado, estas llaves son responsabilidad del cliente o empresa que ha contratado los servicios a la compañía de telecomunicaciones. Escrito por: R. Fabian Garzón. CISM, PCI QSA, CISSP, GSEC, GCIA, CCNA, CCNA Sec, + Consultor de IQ Information Quality Aviso legal: La información y demás conceptos preparados y entregados por la organización IQ INFORMATION QUALITY, tienen un fin exclusivamente informativo. La compañía es cuidadosa con la información dispuesta al público y a nuestros clientes, es el resultado de un análisis profesional y como tal se toman las medidas razonables para que la información que se suministra sea correcta y fiable. Sin embargo la compañía no garantiza que dicha información sea exacta, completa y actualizada por lo que en ningún caso nos hacemos responsables por el uso de dicha información o cualquier perjuicio que cause a quien de ella hace uso. El material y contenido de este white paper puede ser modificado, corregido y actualizado sin previo aviso.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback