bienvenido a t-cert
Si bien los minoristas y las tiendas en línea continúan siendo el objetivo de los piratas informáticos debido a las grandes ganancias financieras, es sorprendente que muchos estén luchando por satisfacer las demandas de seguridad de las tarjetas de pago. De hecho, de acuerdo con el Informe de seguridad de pagos de Verizon 2020 , solo el 27,9% de las organizaciones pueden mantener un cumplimiento total con el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) .
Y a medida que la cantidad de pagos con tarjeta y sin contacto continúe aumentando, a medida que las preferencias de los consumidores cambien constantemente a favor del plástico, las carteras móviles y las compras en línea, estas tasas seguirán aumentando. Estos nuevos entornos informáticos dinámicos exigen un cambio de enfoque desde los métodos de ciberseguridad convencionales hacia la protección de la carga de trabajo individual , la seguridad de la API y la gestión de la configuración .
Esta publicación analiza los requisitos de cumplimiento de PCI-DSS y cómo aplicarlos en entornos modernos de nubes híbridas y multinube.
El PCI-DSS especifica doce requisitos técnicos y operativos de la siguiente manera.
Un firewall es su primera línea de defensa, evitando que el tráfico potencialmente malicioso ingrese a su red según un conjunto de reglas preconfiguradas.
Sin embargo, los firewalls tradicionales basados en el perímetro ya no son suficientes para proteger sus activos en la nube, ya que no existe un límite claro entre sus usuarios y la red interna.
Para superar este problema, necesitará un firewall en la nube . Esto funciona de manera muy similar a un firewall convencional, pero se ha adaptado específicamente a la naturaleza distribuida de la nube, donde las aplicaciones se dividen en componentes discretos dispersos por su entorno de red.
Los proveedores de enrutadores, sistemas POS y componentes relacionados suministran a sus equipos nombres de usuario, contraseñas y configuraciones predeterminados para que la instalación y configuración sean lo más rápidas y sencillas posible.
Como estas configuraciones de fábrica están disponibles para los estafadores, se convierten en objetivos fáciles para obtener acceso a redes internas y robar datos de titulares de tarjetas. El uso de configuraciones y credenciales de inicio de sesión únicas es básico para ayudar a mantener alejados a los piratas informáticos.
En el mismo sentido, tenga cuidado con el uso de otras configuraciones predeterminadas, como los permisos de acceso. Los equipos de CloudSecOps deben asegurarse de que sus aplicaciones y cargas de trabajo en la nube no sean demasiado permisivas y solo brinden el nivel necesario de acceso a recursos sensibles para reducir la superficie de ataque.
La mejor manera de proteger la información del titular de la tarjeta es simplemente evitar almacenarla por completo o, al menos, cifrarla.
Para cumplir con PCI-DSS, dicho cifrado debe utilizar el algoritmo AES-256 estándar de la industria . Pero recuerde que sus datos son tan seguros como las claves que utiliza para cifrarlos. Por lo tanto, proteja sus claves de cifrado mediante un sistema de gestión de claves eficaz .
También es importante tener una idea clara de qué datos de titulares de tarjetas está almacenando en primer lugar, generalmente mediante el uso de herramientas de descubrimiento de datos y un inventario de sus activos de datos.
Configure correctamente cada uno de sus entornos en la nube y locales para cifrar los datos del titular de la tarjeta mediante la seguridad de la capa de transporte (TLS) , donde se mueve a través de Internet entre las diferentes partes de su ecosistema de tarjetas de pago. También considere invertir en una solución integral de seguridad de red en la nube para nubes públicas e híbridas, y asegúrese de que cada red inalámbrica utilice una contraseña segura y el último protocolo de seguridad Wi-Fi disponible .
Su software antivirus (AV) debe ser capaz de proteger todos los entornos que alojan su sistema de tarjetas de pago, a través de su infraestructura de nube híbrida o de múltiples nubes.
Sin embargo, con tipos más sofisticados de amenazas dirigidas a implementaciones basadas en la nube, ahora necesita una gama más amplia de enfoques de seguridad para proteger los detalles del titular de la tarjeta, como la gestión de la postura de seguridad en la nube (CSPM) y la protección de la carga de trabajo en la nube .
Debe asegurarse de que la seguridad esté integrada en el desarrollo de su aplicación y en los procesos del ciclo de vida. Esto incluye soporte para prácticas de codificación seguras a través de capacitación, pautas y listas de verificación, así como revisiones periódicas de cualquier código de aplicación interno o personalizado.
Debe limitar la cantidad de personas que pueden acceder a los detalles del titular de la tarjeta al mínimo, permitiendo que solo lo hagan aquellos con una necesidad comercial legítima. La forma más práctica de hacer esto es implementar un sistema de control de acceso basado en roles (RBAC) , que debería otorgar acceso a recursos sensibles, como los datos del titular de la tarjeta, según el principio de privilegio mínimo .
Cada usuario autorizado de sus sistemas debe tener un ID y una contraseña únicos. Esto asegura que siempre conozca la identidad de cualquier persona que acceda a los datos del titular de la tarjeta en cualquier momento. Además, PCI-DSS ahora solo permite a los usuarios con privilegios administrativos el acceso remoto mediante autenticación de dos factores (2FA) .
Cuando aloja aplicaciones en la nube pública, transfiere la responsabilidad de la seguridad física de sus servidores a su proveedor de servicios en la nube. Sin embargo, aún tiene la responsabilidad de garantizar la seguridad física de sus dispositivos de punto final. Tome medidas para ayudar a prevenir el acceso no autorizado a dispositivos de pago y estaciones de trabajo a través de medidas como videovigilancia, políticas y procedimientos de seguridad, capacitación del personal, controles de bloqueo basados en el tiempo y asegurándose de que las pantallas estén fuera de la vista del público en general.
El registro y la supervisión del acceso a su sistema de tarjeta de pago lo ayudarán a detectar los primeros signos de actividad sospechosa y también le brindarán alertas e información cuando las cosas vayan mal.
Las necesidades en esta área han evolucionado de la mera visibilidad a la observabilidad, no solo para mantener la visibilidad de todos los componentes de procesamiento de su tarjeta, sino también para identificar y solucionar rápidamente cualquier problema. Para lograr esto, es posible que deba buscar herramientas de monitoreo de nueva generación que brinden visibilidad centralizada en toda su infraestructura de nube híbrida y nube múltiple.
Para complementar otras medidas de seguridad, como el escaneo AV y la administración de parches, debe verificar regularmente que su sistema de tarjeta de pago sea lo suficientemente robusto como para resistir amenazas potenciales. Para hacer esto, se requieren herramientas automatizadas de escaneo de vulnerabilidades , así como pruebas de penetración de rutina . Otros procedimientos de prueba deben incluir controles regulares en los lectores de tarjetas para detectar software y procesos para identificar puntos de acceso inalámbricos no autorizados .
Una política de seguridad de la información bien documentada y bien comunicada ayudará a sensibilizar al personal sobre los riesgos para los datos de los titulares de tarjetas y sus responsabilidades para protegerlos. Las políticas y los procedimientos pertinentes también deben incorporarse en los manuales de los empleados, los acuerdos con proveedores externos, las evaluaciones de riesgos y los planes de respuesta a incidentes.
El cumplimiento de PCI-DSS es un requisito básico para el manejo de datos de titulares de tarjetas, no necesariamente garantiza una protección completa. La transformación digital y la migración a la nube han cambiado los objetivos de seguridad y las empresas deben mirar más allá de los métodos tradicionales de seguridad.
Esto requiere nuevas soluciones que se adapten a la naturaleza compleja y dinámica de las implementaciones de nubes híbridas y multinube. Por ejemplo, protección de carga de trabajo (CWPP) para proteger aplicaciones individuales, contenedores e incluso funciones sin servidor para garantizar que estén debidamente protegidos y asegurados durante el tiempo de ejecución. Este paso debe complementarse con una solución de gestión de la postura de seguridad en la nube (CSPM) para no solo identificar las brechas de seguridad y cumplimiento durante el desarrollo, sino también monitorear y comparar continuamente las configuraciones con las mejores prácticas y los requisitos de cumplimiento. Y también debe proteger al titular de la tarjeta contra las amenazas nuevas y cada vez más sofisticadas de la actualidad con una solución que brinde seguridad de red en la nube. capacidades para todo el tráfico de su red.
Busque herramientas que brinden protección continua en lugar de simplemente lograr el cumplimiento una vez al año, con visibilidad unificada en todos los componentes de su sistema de tarjeta de pago desde un solo panel de vidrio.
.jpg){kind=small}