Recorriendo los Caminos de EnCase: ¿Ahora qué?: Entendiendo el Cumplimiento de Estándar PCI DSS V2 con EnCase

El cumplimiento de estándares no es fácil. Toma tiempo y esfuerzo, especialmente cuando la seguridad de la información de la tarjeta de crédito del cliente está en juego. Esta publicación es la primera de una serie en la que discutiremos en detalle cómo los productos de EnCase eDiscovery y EnCase Cybersecurity pueden asistirle en una variedad de organizaciones para cumplir con el Estándar de Seguridad en la Industria de Datos para la Industria de Tarjetas de Pago (PCI DSS por sus siglas en inglés).

PCI DSS es el estándar determinante para el almacenamiento, procesamiento y transmisión de datos de tarjetas de crédito dentro de una organización. El estándar se aplica donde quiera que haya datos almacenados, procesados o transmitidos. Bajo el estándar, los datos de la cuenta se definen en las siguientes dos áreas:

1. Datos del Titular de la Tarjeta

        - Número de Cuenta Primaria (PAN por sus siglas en inglés)
        - Nombre del Titular de la Tarjeta
        - Fecha de Expiración
        - Código de Servicio

2.    Datos de Autenticación Sensible

        - Datos de la banda de seguridad magnética o el equivalente en un microchip
        - CAV2/CVC2/CVV2/CID
        - PINs/Bloqueo de PIN
El número de cuenta primaria es el elemento clave del estándar. Aquí explicamos cómo el número de cuenta se interrelaciona con el estándar PCI:

El número de cuenta primaria (PAN por sus siglas en inglés) es el factor decisivo en la aplicabilidad de los requerimientos de PCI DSS y PA-DSS. Los requerimientos de PCI DSS son aplicables si el número de una cuenta primaria (PAN) es guardada, procesada o transmitida. Si el PAN no es almacenado, procesado o transmitido, PCI DSS y PA-DSS no se aplican.*

EnCase eDiscovery es una herramienta de auditoría con capacidades forenses que varios tipos de organización pueden usar para validar su cumplimiento de los estándares PCI. EnCase eDiscovery puede buscar positivamente casi todas las fuentes de información organizacional en las que los datos de la cuenta cumplen con el estándar PCI y puedan estar almacenados, procesados o transmitidos en documentos, registro o memoria. Con las capacidades internas de reporte, los resultados de auditorías pueden ser compartidos de forma segura con otros en la organización, incluyendo el equipo legal, cumplimiento, equipos de auditoría o supervisores. Cuando se combina con EnCase Cybersecurity, cualquier dato está fuera del estándar de cumplimiento PCI y puede ser inmediatamente remediado o limpiado forénsicamente luego de la identificación.

Organizaciones que procesan cuentas de datos pueden usar Encase para asistirlo

-    Evaluación, implementación y configuración de un sistema de pagos para asegurar el cumplimiento para con los estándares PCI.

-    Desempeño en marcha de las “auto auditorías” de primera mano para medir el cumplimiento de PCI previo al arribo de un (QSA). La organización puede tomar cuantos pasos sean necesarios para remediar asuntos encontrados durante sus auto auditorías periódicas.

Asesores de Seguridad de Pagos Calificados para Aplicaciones (PA-QSAs) pueden usar EnCase eDiscovery para ayudar a auditar organizaciones sin importar el tamaño, de una manera rápida y con mayor costo/beneficio. EnCase puede asistir en PA-QSAs con todos los siguientes:

-    Desempeñando valoraciones comprensivas de aplicaciones de pago en concordancia con los estándares PCI usando una tecnología forense probada y metodología que puede ser desempeñada a través de la red desde una localización central en la organización.

-    Proporcionando de reportes y data para ayudar a PA-QSAs a formar una opinión acerca del cumplimiento de una aplicación de pago.

-    Agregando un proceso defendible y reusable para encontrarse con la calidad interna y asegurarse de los requerimientos de PA-QSA.

El valor agregado para las PA-QSAs es que el tiempo de auditoría puede ser reducido mientras se incrementa el alcance y profundidad de la auditoría como es requerido usando EnCase. Esto deja más tiempo para el análisis de resultados.

Revendedores, Integradores y Proveedores de Software pueden usar EnCase eDiscovery como parte de sus procesos pruebas de software para asegurar que su aplicación cumpla con el almacenamiento y porciones de prueba de los estándares de cumplimiento.

Ahora veamos de primera mano a los primeros sets de porciones de los estándares de cumplimiento con los que EnCase puede ayudar en una amplia variedad de tipos de organizaciones.

Requisitos*	Procedimientos de Evaluación*	Cómo EnCase Puede Ayudar
1.1.1
Requisitos de las PCI PA-DSS Después de la autorización, no almacene contenidos completos de ninguna pista de la banda magnética (ubicada en el reverso de la tarjeta, datos equivalentes que están en un chip o en cualquier otro dispositivo). Estos datos se denominan alternativamente pista completa, pista, pista 1, pista 2 y datos de banda magnética. Nota: En el transcurso normal de los negocios, es posible que se deban retener los siguientes elementos de datos de la banda magnética: - El nombre del titular de la cuenta. - Número de cuenta principal (PAN). - Fecha de vencimiento. - Código de servicio.	Procedimientos de Evaluación de Seguridad Utilice las herramientas y/o métodos forenses (herramientas comerciales, secuencias de comandos, etc.) para examinar todos los resultados creados por la aplicación de pago y verificar que todo el contenido de cualquier pista de la banda magnética en el reverso de la tarjeta o datos equivalentes que estén en un chip no sean almacenados después de la autorización. Incluya por lo menos los siguientes tipos de archivos (y cualquier otro resultado generado por la aplicación de pago): - Datos de transacciones entrantes - Todos los registros (por ejemplo, transacciones, historiales, depuración, error) - Archivos de historial - Archivos de seguimiento - Memoria no volátil, incluida la memoria caché no volatile LO SIGUIENTE PUEDE O PUEDE QUE NO ESTÉ INCLUIDO CON ENCASE DEPENDIENDO DEL TIPO DE BASE DE DATOS - Esquemas de bases de datos - Contenidos de bases de datos	Cómo EnCase puede Ayudarte EnCase eDiscovery puede realizar auditorías remotas de todos los hosts dentro de la organización para cualquier dato sobre el titular de tarjeta definido y cubierto por el estándar PCI asociado con transacciones como: - PINS - Números de la Cuenta Principal EnCase puede desempeñar auditorías en casi cualquier sistema operativo moderno (windows, linux, mac) como también en dispositivos que soporten un agente para buscar sus datos en archivos de registros, historiales y memoria. EnCase eDiscovery también tiene funcionalidades OCR para buscar datos del titular de la tarjeta mediante capturas de pantalla y otras imágenes o PDF’s. EnCase también puede validar que los datos del titular de la tarjeta no están siendo archivados, procesados o transmitidos a ninguna parte de la empresa de manera casual.
1.1.2
*Requisitos de las PCI PA-DSS* Después de la autorización, no almacene el valor o código de validación de tarjetas (número de tres o cuatro dígitos impreso en el anverso o reverso de una tarjeta de pago) que se utiliza para verificar las transacciones de tarjetas ausentes	Procedimientos de Evaluación de Seguridad Utilice las herramientas y/o métodos forenses (herramientas comerciales, secuencias de comandos, etc.) para examinar los resultados creados por la aplicación de pago y verificar que el código de validación de la tarjeta de tres o cuatro dígitos impreso en el anverso de la tarjeta o en el panel de firma (datos CVV2, CVC2, CID, CAV2) no quede almacenado después de la autorización. Incluya por lo menos los siguientes tipos de archivos (y cualquier otro resultado generado por la aplicación de pago): - Datos de transacciones entrantes - Todos los registros (por ejemplo,transacciones,historiales, depuración, error) - Archivos de historial - Archivos de seguimiento - Memoria no volátil, incluida la memoria caché no volátil LO SIGUIENTE PUEDE O PUEDE QUE NO ESTÉ INCLUIDO CON EnCase DEPENDIENDO DEL TIPO DE BASE DE DATOS - Esquemas de bases de datos - Contenidos de bases de datos	Cómo EnCase puede Ayudarte EnCase eDiscovery puede realizar auditorías a través de miles de dispositivos para encontrar datos del PIN en máquinas en las cuales datos del titular de la tarjeta son guardados o procesados de acuerdo con el estándar PCI. De nuevo, el estándar cita específicamente el uso de métodos forenses y herramientas para completar este requerimiento.
1.1.3
*Requisitos de las PCI PA-DSS* Después de la autorización, no almacene el número de identificación personal (PIN) ni el bloqueo de PIN cifrado	Procedimientos de Evaluación de Seguridad Utilice las herramientas y/o métodos forenses (herramientas comerciales, secuencia de comandos, etc.) para examinar los resultados creados por la aplicación de pago y comprobar que los PIN y los bloqueos de PIN cifrados no queden almacenados después de la autorización. Incluya por lo menos los siguientes tipos de archivos (y cualquier otro resultado generado por la aplicación de pago). - Datos de transacciones entrantes - Todos los registros (por ejemplo, transacciones, historiales, depuración, error) - Archivos de historial - Archivos de seguimiento - Memoria no volátil, incluida la memoria caché no volátil LO SIGUIENTE PUEDE O PUEDE QUE NO ESTÉ INCLUIDO CON ENCASE DEPENDIENDO DEL TIPO DE BASE DE DATOS - Esquemas de bases de datos - Contenidos de bases de datos	Cómo EnCase puede Ayudarte EnCase eDiscovery puede analizar el software de pago después de la salida e identificar numeros PIN y bloques encriptados de PIN. EnCase puede auditar cualquiera salida de aplicación de pago o buscar por estos datos en entradas, historias y memoria.
1.1.4
*Requisitos de las PCI PA-DSS* Elimine de manera segura los datos que haya en la banda magnética, los valores o los códigos de validación de la tarjeta y los PIN o los datos de bloqueo de PIN almacenados por versiones anteriores de la aplicación de pago, de acuerdo con las normas aceptadas de la industria para una eliminación segura y según se define, por ejemplo, en la lista de productos aprobados de la Agencia de Seguridad Nacional u otra norma o reglamentación estatal o nacional.	Procedimientos de Evaluación de Seguridad 1.1.4.b Verifique que el proveedor proporcione una herramienta o un procedimiento de limpieza seguro para eliminar los datos 1.1.4.c Verifique que, mediante el uso de herramientas y/o métodos forenses, la herramienta o procedimiento de limpieza seguro proporcionado por el proveedor elimine los datos de manera segura, de acuerdo con las normas aceptadas en la industria para la eliminación segura de datos.	Cómo EnCase puede Ayudarte Si versiones previas de la aplicación de pago guardó datos de autenticación que son sensibles, EnCase eDiscovery puede verificar que los datos han sido eliminados de manera segura del sistema a un nivel forense de acuerdo con los estándares más estrictos. EnCase en la forma que se combine la licencia de EnCase eDiscovery y EnCase Cybersecurity pueden eliminar de manera segura.

En nuestro próximo artículo de la serie, vamos a seguir buscando en la próxima serie de requisitos de cumplimiento de PCI. La intención es ayudar a las organizaciones a entender cómo EnCase puede reducir la complejidad del cumplimiento de PCI y ayudar con la práctica en la ejecución de los requisitos.

- T. Grey, Ingeniero de Ventas Para Latinoamérica, Guidance Software

Si desea una demostración de cómo EnCase puede ayudar con el cumplimiento, combatir el fraude, o de respuesta a incidentes de malware, no dude en ponerse en contacto con el equipo de ventas ( sales-LatAm@encase.com )

RELACIONADOS

La Infraestructura de la Ciberseguridad: Identificación, Colaboración y Defensa Proactiva

La Primera Regla es Llevar Siempre el Casco

EnCase Analytics: Inteligencia de Seguridad Mediante el Análisis de Dispositivos

Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase

Recorriendo los Caminos de EnCase

¿Ahora qué?: Entendiendo el Cumplimiento de Estándar PCI DSS V2 con EnCase – Parte I

No hay comentarios :

Publicar un comentario

Buscar este blog

We're Here to Help

Connect With Us

Tags

Popular

Archive