Por Israel Nadal
Las auditorías PCI DSS no suelen ser una experiencia agradable para los profesionales de la ciberseguridad. La auditoría anual de la Industria de Tarjetas de Pago es un requisito obligatorio para cualquier empresa que almacena, procesa, transmite los datos de los titulares de tarjetas. La norma en sí no es ninguna broma, ya que incluye 12 requisitos y más de 400 subrequisitos. Además, recientemente ha sido objeto de una importante actualización con nuevos requisitos que han cambiado bastante las cosas.
Suponer que sabe dónde se almacenan los datos de los titulares de tarjetas
La norma PCI DSS le obliga a segmentar las áreas de su red que están dentro del entorno del titular de la tarjeta y las que están fuera de él. Los sistemas fuera del ámbito suelen ser los que no están relacionados con el procesamiento de tarjetas de pago. La mayoría de los entornos tienen puntos ciegos o lagunas a través de los cuales los datos de los titulares de tarjetas pueden salir de la red en cuestión. Esto puede convertirse en un problema importante y en un posible fracaso de la auditoría si se descubre durante la misma. Asegúrese de visualizar los flujos de datos a través de los cuales viajan los datos y escanee periódicamente también los sistemas fuera del alcance.
No realizar una comprobación previa de la preparación.
Si ha pasado la auditoría PCI dos o tres veces, es normal que se confíe y asuma que será tan fácil como la última vez. Los auditores PCI o QSA pueden ser drásticamente diferentes año tras año y centrarse en áreas radicalmente distintas. Es esencial tratar la auditoría como la primera cada año y no asumir que se comprobarán las mismas áreas. Si cree que su proceso de evaluación de la vulnerabilidad es sólido, quizá deba centrarse este año en su área clave de gestión. Realice una comprobación previa con otro miembro del equipo en la que él o ella represente la auditoría PCI con usted y recorra toda la red.
Suponer que el entorno no ha cambiado
El hecho de que una base de datos no se haya modificado desde el año pasado no significa que no haya dejado de cumplir la norma PCI DSS. He visto a administradores de bases de datos crear tablas temporales que contienen datos claros de titulares de tarjetas para resolver un problema de producción. Y luego olvidarse de ello hasta que se descubre durante una auditoría PCI. Esto puede convertirse en un grave problema y en un posible fracaso de la auditoría. No dé por sentado que el entorno no ha cambiado y vuelva a comprobar la seguridad de sus sistemas críticos antes de cada auditoría.
Pensar que la auditoría PCI DSS sólo cubrirá los controles técnico
La PCI DSS es una norma técnica, pero su ámbito de aplicación va mucho más allá de los controles técnicos. A menudo son los procesos empresariales los que manejan la mayor parte de los datos de los titulares de tarjetas. Si no se tienen en cuenta, pueden surgir problemas importantes durante la auditoría cuando el auditor encuentre hojas de Excel que contengan números de tarjeta claros. Es fundamental documentar todos los procesos empresariales que intervienen en el cobro con tarjetas de pago para que se tengan en cuenta. Asegurarse de que estas unidades de negocio comprenden la importancia de proteger los datos de los titulares de tarjetas y cómo protegerlos. A menudo esto puede ser 10 veces más difícil que implantar un control técnico.
Autor: Israel Nadal (@perito_inf)