Introducción a PCI, Payment Card Industry Oscar Reyes Hevia, consultor de tecnología

Agosto 2015

Los Datos de las Tarjetas de Pago son

un Objetivo muy deseable para los Delincuentes...

...siempre han estado en la parte superior de la lista de datos más robados

Los Datos de las Tarjetas de Pago son

un Objetivo muy deseable para los Delincuentes...

Los métodos más utilizados explotan debilidades de seguridad presentes en el medio ambiente.

200540 millones

de tarjetas perdidas

200745,7 millones

de tarjetas perdidas

2009160 millones

de tarjetas perdidas

20131,8 millones

de tarjetas perdidas

Procesador de tarjetas de pago • Acceden a base de datos

con conectividad directa a Internet.

• Empresa ya no está en el negocio.

Importante minorista Retail • Malware no detectado por 18

meses. • Informes sugieren costos

directos del orden de 256 millones de dólares.

Procesador de pagos • Malware se utilizó para

capturar datos de los tarjetahabientes, ya procesados.

• Informes sugieren costos directos cercanos 171 millones de dólares.

Minorista de alimentos • Malware instalado en POS

robo datos cuando estos eran capturados.

• Costos estimados podrían superar los 80 millones de dólares.

Mayores Robos de tarjetas

Métodos más usados para el robo de datos de tarjetas

29%

35%

40%

52%

76% Explotación de credenciales débiles o robados

Involucra algún tipo de piratería

Incorpora malware

Involucra agresiones físicas

Uso de tácticas sociales

• Contraseñas débiles o por defecto

• Falta de educación de los empleados

• Deficiencias de seguridad introducidas por terceros

• Lenta autodetección

Principales ErroresRevelados por auditorías forenses

Riesgos para el negocio

Fecha de vencimiento de tarjetas

Números de tarjetas

Códigos de verificación

Datos de banda

Otro

81%

73%

71%

57%

16%

Una encuesta en Europa y U.S. reveló que muchas empresas almacenan información de tarjetahabientes

Una encuesta de PwC efectuada a 9.700 empresas encontró que habían detectados casi 43 millones de

incidentes de seguridad en 2014, una tasa de crecimiento anual compuesto del 66% desde 2009

De los ejecutivos de US están preocupados por el impacto de las amenazas cibernéticas en el crecimiento.

Nuevas iniciativas están aumentando los ingresos, pero

69%

69%

La fuerza de ventas se esfuerza por mejorar la experiencia cliente, pero

De los consumidores dijo que una brecha de seguridad los inclinaría a comprar menos en la organización involucrada.

Payment Card Industry Data Security Standard(PCI DSS)

Las Normas de Seguridad de Datos (DSS) de la Industria de Tarjetas

de Pago (PCI) se desarrollaron para fomentar

y mejorar la seguridad de los datos del titular de la

tarjeta y facilitar las medidas de seguridad

consistentes a nivel mundial.

EMPRESAS FUNDADORAS

• Ofrece una línea de base de requisitos técnicos y operativos diseñados para proteger los datos de titulares de tarjetas.

• Comprende conjunto mínimo de requisitos para la protección de datos de tarjeta, puede ser reforzada por controles y prácticas para mitigar aún más riesgos adicionales.

• Se aplica a todas las entidades involucradas en el procesamiento de tarjetas de pago - incluyendo comerciantes, procesadores, adquirentes, emisores y proveedores de servicios.

• Se aplica donde se almacenan los datos de cuenta, procesan o transmiten.

Payment Card Industry Data Security Standard

(PCI DSS)

Ecosistema de dispositivos de pago, aplicaciones, infraestructura y usuarios

ESTÁNDARES EN LA INDUSTRIA PCI

Fabricantes

PCI PTS (PIN Entry

Device)

Dispositivos de ingreso

de PIN

Desarrolladores de

software

PCI PA DSS

Implementadores de aplicaciones de pago

Comercios y procesadores

PCI DSS

Estándar de Seguridad de datos

P2PE

PCI Security

& Compliance

UN PROCESO DE MEJORA CONTINUA

RemediarEvaluar

Informar

Resolver vulnerabilidades y no almacenar datos de titulares de tarjeta a menos que sea estrictamente necesario.

Identificar datos de tarjetahabientes, hacer un inventario de activos de TI y los procesos de negocio para procesamiento de tarjetas de pago, analizarlos para determinar vulnerabilidades que podrían exponer los datos de los tarjetahabientes.

Compilar y presentar los registros de validación de remediales (si aplican),presentar informes de conformidad a banco adquirente y

marcas de tarjetas involucradas.

1230000 0001 2345 6789

02/10

Mi tarjeta de crédito

Tarjeta de crédito

123PAN

Fecha vencimiento

CID (American Express)

Banda magnética (Información en track 1 y 2)

CAV2/CID/CVC2/CVV2 (Discover,JCB, MasterCard, Visa)

TIPOS DE DATO EN TARJETAS DE PAGO

Elementos de datos Almacenamiento permitidoHace que los datos de la

cuenta almacenados no se puedan leer según requisito 3.4

Datos de titular del tarjeta

Número de cuenta principal (PAN) Sí Sí

Nombre del titular de tarjeta Sí No

Código de servicio Sí No

Fecha de vencimiento Sí No

Datos confidenciales de autenticación

Datos completos de la banda magnética No No se pueden almacenar

(req3.2)

CAV2/CVC2/CVV2/CID No No se pueden almacenar (req3.2)

PIN/Bloqueo de PIN No No se pueden almacenar (req3.2)

Dat

os d

e la

cue

nta

Los requisitos 3.3 y 3.4 sólo se aplican al PAN. Si el PAN se almacena con otros elementos de los datos del titular de la tarjeta, únicamente el PAN debe ser ilegible (Req3.4).

• Mucha gente se refiere a toda la data de la tarjeta simplemente como la data del tarjetahabiente o la data del propietario de tarjeta.

• Los requisitos de PCI DSS son aplicables si el PAN o data sensible de autenticación (Sensitive Authentication data, SAD) son almacenados, procesados o trasmitidos.

• Los requisitos de PCI DSS también aplican a sistemas que proveen servicios de seguridad o podrían impactar en la seguridad de los datos de cuenta.

• Datos de cuenta incluyen toda la información impresa sobre la tarjeta física y también sobre bandas magnéticas o chip.

• Data sensible de autenticación no puede s e r a l m a c e n a d a d e s p u é s d e l a autorización.

¿A qué se le llama

"data del propietario de tarjeta"?

• No está permitido almacenar Tracks u otros datos sensibles después de la autorización.

• Esto se aplica incluso si los datos están protegidos por: • Cifrado • Protección por contraseña • Codificación de datos /

ofuscación • Enmascaramiento • Formatos de datos propietarios • Otros mecanismos

Almacenamiento de tracks

NO está permitido

Almacenamiento de tracks

NO está permitido

Emisores y procesadores están autorizados a conservar datos sensibles, si son necesarios para efectos de correcciones.

Excepción

• Bases de datos • Archivos planos • Archivos de registro (logs) • Archivos de depuración (debug files) • Unllocated cluster

Los datos de tracks se pueden encontrar en una variedad de ubicaciones:

• Servidores de soluciones POS • POS • Servidores de autorización • Equipos de autoservicios como ATMs y quioscos

¿ D o n d e c o m ú n m e n t e s e almacena información de tracks de tarjetas?

• Solucionar lectura erróneas de pista • Errores de red • Problemas de codificación • Otros

¿Por qué está permit ido el almacenamiento temporal de datos de tracks?

• Recopilación de datos sólo cuando sea necesario para resolver un problema específico.

• Recolección mínima de datos. • Almacenamiento de datos en ubicaciones específicas, seguras y con

acceso limitado. • Cifrado de datos cuando se almacenan / transmiten. • Eliminación de datos de forma segura, inmediatamente solucionado

el problema. • Verificación que la data no puede ser recuperada una solucionado

el problema.

Procedimientos de recopilación de data documentados incluyen:

6 Objetivos 12 Requerimientos

Objetivos Requisitos

Desarrollar y mantener una red seguraRequisito 1. Instalar y mantener una configuración de cortafuegos para proteger los datos de propietarios de tarjetas.Requisito 2. No usar contraseñas del sistema y otros parámetros de seguridad predeterminados provistos por los proveedores.

Proteger los datos de los propietarios de las tarjetas (tarjetahabientes).

Requisito 3. Proteger los datos almacenados de los propietarios de tarjetas.

Requisito 4. Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida a través de redes públicas abiertas.

Mantener un programa de gestión de vulnerabilidades

Requisito 5. Usar y actualizar periódicamente un software antivirus.

Requisito 6. Desarrollar y mantener aplicaciones seguras.

Implementar medidas sólidas de control de acceso

Requisito 7. Restringir el acceso a los datos, tomando como base la necesidad del funcionario a conocer la información.Requisito 8. Asignar una identificación única a cada persona que tenga acceso a un computador.

Monitorear y probar regularmente las redesRequisito 9. Restringir el acceso físico a los datos de los propietarios de tarjetas.

Requisito 10. Rastrear y monitorear todo el acceso a los recursos de la red y datos de propietarios de tarjetas.

Mantener una política de seguridad de la información

Requisito 11. Probar regularmente los sistemas y procesos de seguridad.

Requisito 12. Mantener una política que contemple la seguridad de la información.

Tabla de requisitos PCI DSS

La forma más segura de reducir el alcance de PCI

DSS es NO almacenar los datos de los tarjetahabientes

FORMATO PCI DSS V3• Requerimiento PCI DSS: Esta columna define los requisitos de la norma de seguridad de datos; El cumplimiento

de PCI DSS se valida con estos requisitos. • Procedimiento de prueba: Esta columna muestra los procesos a seguir por el evaluador para validar que se han

cumplido los requisitos de PCI DSS y están "en su lugar". • Guía: Esta columna describe la intención o la seguridad objetiva detrás de cada uno de los requisitos de PCI DSS.

Esta columna contiene orientativo, y está destinado a facilitar la comprensión del propósito de cada requisito. la guía en esta columna no pretende sustituir o ampliar los requisitos de PCI DSS y procedimientos de prueba.

Requerimiento PCI DSS Procedimiento de prueba Guía

1.1 Establezca e implemente normas de configuración para firewalls y routers que incluyan lo siguiente:

1.1Inspeccione las normas de configuración de firewalls y routers y otros documentos especificados a continuación para verificar el cumplimiento e implementación de las normas.

Los firewalls y los routers son componentes clave de la arquitectura que controla la entrada a y la salida de la red. stos dispositivos son unidades de software o hardware que bloquean el acceso no deseado y administran el acceso autorizado hacia dentro y fuera de la red.

0

22,5

45

67,5

90

Req1 Req2 Req3 Req4 Req5 Req6 Req7 Req8 Req9 Req10 Req11 Req12

64%

33%

76%

82%

69%

89%

64%

80%82%

62%67%

71%

60%

40%44%

76%

33%

60%

49%

67%64%

44%42%44%

2013 2014

Cumplimiento PCI DSS

Payment Application Data Security Standard(PA DSS)

El objetivo de PA-DSS es ayudar a los proveedores de

software y otros a desarrollar aplicaciones de pago seguras y que

den cumplimiento a PCI-DSS

Aplicaciones que se venden, distribuyen o autorizan bajo licencia

a terceros están sujetas a los requisitos

de la PA-DSS

La forma más segura de reducir el alcance de PCI

DSS es NO almacenar los datos de los tarjetahabientes

Un software aprobado no es

equivalente a ser "PCI Compliance"

"Mi software está aprobado, por lo que debería estar en conformidad con PCI“. Esto es incorrecto, cualquier comercio que hace que esta conclusión errónea podría estar abierto a vulnerabilidades, que negarían la posibilidad de cumplimiento de PCI.

Un software de PA-DSS aprobado es un componente crucial de PCI DSS, pero si la seguridad de la red no se implementó correctamente, entonces la aplicación será vulnerable.

• El uso de aplicaciones PA-DSS por sí mismo no hace a una entidad conforme con PCI-DSS.

• Las aplicaciones PA-DSS están dentro del alcance de PCI-DSS.

• Las evaluaciones de PCI-DSS para aplicaciones de pago deberían verificar que:

Las aplicaciones de pago se implementan en un entorno compatible con PCI-DSS.

L a s a p l i c a c i o n e s d e p a g o e s t á n configuradas para cumplid los requisitos de PCI-DSS, de acuerdo con la Guía de aplicación PA-DSS.

¿Cómo impacta una aplicación PA-DSS en PCI-DSS?

• PA-DSS se aplica a las software de terceros:

• Si la aplicación realiza autorizaciones o pagos (POS, carritos de la compra, ATMs, etc.)

• PA-DSS garantiza que una aplicación de pago, funciona de manera compatible con PCI-DSS:

• Para apoyar el cumplimiento de PCI-DSS.

• Las aplicaciones de pago PA-DSS se deben instalar:

• Según ins t rucc ión de la gu ía de implementación PA-DSS proporcionados por el proveedor.

• De una manera compatible con PCI-DSS.

Payment Application Data Security Standard

Requisitos PA DSS

Requisito 1. No retenga toda la banda magnética, el código de validación de la tarjeta ni el valor (CAV2, CID, CVC2, CVV2), ni los datos de PIN blockRequisito 2. Proteja los datos del titular de la tarjeta que fueron almacenadosRequisito 3. Provea funciones de autenticación segura Requisito 4. Registre la actividad de la aplicación de pagoRequisito 5. Desarrolle aplicaciones de pago segurasRequisito 6. Proteja las transmisiones inalámbricasRequisito 7. Pruebe las aplicaciones de pago para tratar las vulnerabilidadesRequisito 8. Facilite la implementación de una red seguraRequisito 9. Los datos de titulares de tarjetas nunca se deben almacenar en un servidor conectado a InternetRequisito 10. Facilite actualizaciones de software remotas y segurasRequisito 11. Facilite un acceso remoto seguro a la aplicación de pagoRequisito 12. Cifre el tráfico sensitivo de las redes públicasRequisito 13. Cifre el acceso administrativo que no sea de consolaRequisito 14. Mantenga la documentación instructiva y los programas de capacitación para clientes, revendedores e integradores

Tabla de requisitos PA DSS

¡Muchas Gracias!

Referencias

• Verizon 2015 PCI Compliance Report • Verizon 2012 Informe sobre investigación de brechas en los datos de 2012 • US cybercrime: Rising risks, reduced readiness Key findings from the 2014 US State of Cybercrime

Survey, PwC 2014 • PCI DSS Quick Reference Guide, Understanding the Payment Card Industry Data Security

Standard v3.1 • Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment

Procedures, v3.0, November 2013 • Summary of Feedback Received for PCI DSS v2.0 and PA-DSS, v2.0, August 2012 • Payment Card Industry (PCI) Data Security Standard and Payment Application Data Security

Standard, v3.0 Change Highlights August 2013 • Industria de Tarjetas de Pago (PCI) Norma de seguridad de datos Requisitos y procedimientos de

evaluación de seguridad, v2.0, Octubre de 2010 • Payment Card Industry (PCI) Payment Application Data Security Standard, Requirements and

Security Assessment Procedures, V2.0, October • Payment Card Industry (PCI) Payment Application Data Security Standard, Requirements and

Security Assessment Procedures, v3.0, November 2013 • International standards ISO 7813 (tracks 1 and 2) and ISO 4909 (track 3).