En las primeras dos publicaciones de esta serie, comenzamos nuestra vista general con cómo EnCase puede asistir en análisis de primera persona o de terceros relacionado a los Estándares de Seguridad de Datos de la Industria Pagos por Tarjeta de Crédito (PCI DSS) citando directamente del estándar mismo. En esta última publicación, echaremos un vistazo a qué tipos de datos de cuenta del titular de la tarjeta EnCase eDiscovery combinado con EnCase Enterprise puede ayudar a encontrar para luego terminar nuestro vistazo estándar por estándar.
Como habíamos discutido en las partes 1 y 2 de esta serie, los
requerimientos para el cumplimiento de normas y estándares PCI DSS tienen una
dependencia del PAN (por sus siglas en inglés) o Número Primario de Cuenta.
EnCase ha predefinido formatos de tarjetas de crédito para que puedan ayudar a
organizaciones a buscar fácilmente los siguientes tipos de PANs.
Tarjetas de Tipo 1
|
|||
American Express
|
Visa
|
MasterCard
|
Discover Card
|
Diners Club
|
JCB
|
Maestro
|
Laser
|
InstaPayment
|
Solo
|
Switch
|
Visa Electron
|
Tarjetas de Tipo 2
|
|||
American Express
|
Visa
|
Diners Club/Carte Blanche
|
Diners Club International
|
Laser
|
Maestro
|
Tarjetas adicionales pueden ser buscadas usando formatos personalizados.
Todos los formatos pueden ser fácilmente validados usando el algoritmo LUHN.
Además de los formatos de tarjetas de crédito que están predefinidas, formatos personalizados y criterios de búsqueda en EnCase pueden también
ayudar a encontrar documentos o entradas de registro que tengan información
adicional de los datos del titular de la tarjeta o requerimientos cubiertos
bajo PCI DSS que esté asociado con el número de cuenta primario. Esta
información puede incluir nombres del titular de la tarjeta, PINs y otros datos
que usualmente están almacenados en la cinta magnética de la tarjeta de
crédito. Miles de clientes de EnCase también buscan rutinariamente datos
sensibles localizados en servidores con salida a internet, auditar
software/hardware & parches, identificar archivos encriptados y entender
las conexiones remotas a varias computadoras. Muchas de estas tareas
adicionales también pueden ser encontradas en los estándares de cumplimiento
PCI DSS y muchos de estos requerimientos están referenciados en esta serie de
publicaciones de blog.
Entonces, ahora veamos este último set de estándares de cumplimiento con
los que EnCase puede ayudar a varios tipos de organizaciones. Nuevamente
veremos a los requerimientos específicos usando un acercamiento de “estándar
por estándar” y sólo presentando aquellos en contra en los que EnCase provee de
valor agregado.
Requisitos*
|
Procedimientos de Evaluación de Seguridad*
|
Cómo EnCase Puede Ayudar
|
3.3
|
||
Requisitos de las PCI PA-DSS
Haga que las contraseñas de la aplicación de pago sean
ilegibles durante la transmisión y el almacenamiento, usando criptografía
sólida basada en las normas aprobadas.
|
Procedimientos
de Evaluación de Seguridad
Examine
los archivos de contraseña de la aplicación de pago durante el almacenamiento
y la transmisión a fin de verificar que se utiliza criptografía sólida para
impedir en todo momento que las contraseñas puedan ser leídas
|
Cómo EnCase
puede Ayudar
EnCase puede
ayudar a determinar el nivel de encriptación de cualquier archivo que
contenga contraseñas en cualquier computadora o drive en los que aquellos
archivos hayan sido almacenados o hayan tocado archivos de sistema. Esto puede incluir
archivos eliminados o sobreescritos.
|
4.2.3
|
||
Requisitos de las PCI PA-DSS
Acceso a las pistas de auditoría de la aplicación que
sean administradas por la aplicación o estén dentro de ella.
|
Procedimientos
de Evaluación de Seguridad
Verifique
que se registre el acceso a las pistas de auditoría de la aplicación que sean
administradas por la aplicación o estén dentro de ella.
|
Cómo
EnCase puede Ayudar
Para
pagos que almacenan archivos de auditorías o archivos en archivos de sistema,
EnCase puede validar el cumplimiento con este estándar.
|
4.2.6
|
||
Requisitos de las PCI PA-DSS
Inicialización de los registros de auditoría de la
aplicación
|
Procedimientos
de Evaluación de Seguridad
Verifique
que se registre la inicialización de los registros de auditoría de la
aplicación
|
Cómo
EnCase puede Ayudar
Para
pagos que almacenen archivos de auditoría o archivos en archivos de sistema,
EnCase puede validar el cumplimiento con este estándar.
|
4.2.7
|
||
Requisitos de las PCI PA-DSS
Creación y eliminación de objetos a nivel de sistema
dentro de la aplicación o por la aplicación
|
Procedimientos
de Evaluación de Seguridad
Verifique
se registre la creación y eliminación de objetos a nivel de sistema dentro de
la aplicación o por la aplicación
|
Cómo
EnCase puede Ayudar
EnCase puede
proveer visibilidad completa de los objetos del sistema creados por el
sistema de pagos y ver cambios a lo largo del tiempo.
|
4.3
|
||
Requisitos de las PCI PA-DSS
La aplicación de pago debe registrar por lo menos las
siguientes entradas de la pista de auditoría para cada evento
|
Procedimientos
de Evaluación de Seguridad
Pruebe
la aplicación de pago y examine los registros de auditoría de la aplicación y
la configuración de los registros de auditoría y, para cada evento auditable
(según 4.2)
|
Cómo
EnCase puede Ayudar
Dependiendo
del guardado de los datos de la auditoria, EnCase puede posiblemente ayudar a
validar ese ID de usuario, tipo de evento, fecha y hora, origen y otros tipos
de datos de auditoría que son almacenados en los registros.
|
5.1.1
|
||
Requisitos de las PCI PA-DSS
Los PAN activos no se utilizan para las pruebas ni para
el desarrollo
|
Procedimientos
de Evaluación de Seguridad
Los PAN
activos no se utilizan para las pruebas ni para el desarrollo
|
Cómo
EnCase puede Ayudar
EnCase tiene
varios productos que pueden ser usados de manera singular o integrado con
test de desarrollo de software como también procesos de liberación de
software para asegurar que el testeo de datos sensible como PAN’s al vivo sean identificadas y remediadas cuando
fuera de norma.
|
5.1.2
|
||
Requisitos de las PCI PA-DSS
Retiro de los datos y cuentas de prueba antes de
entregar el producto al cliente
|
Procedimientos
de Evaluación de Seguridad
Los
datos y las cuentas de prueba son retirados antes de entregar el producto al
cliente
|
Cómo EnCase
puede Ayudar
EnCase
tiene varios productos que pueden ser usados de manera singular o integrado
con test de desarrollo de software como también procesos de liberación de
software para asegurar que los datos de prueba y las cuentas son
identificadas en registros y otros archivos. Esto también puede ser remediado
antes de que se libere el software cuando se encuentra fuera de las normas de
cumplimiento.
|
5.1.3
|
||
Requisitos de las PCI PA-DSS
Retiro de las cuentas, las ID de usuario y las
contraseñas personalizadas de la aplicación de pago antes de que se les
envíen a los clientes las aplicaciones de pago
|
Procedimientos
de Evaluación de Seguridad
Las
cuentas, las ID de usuario y las contraseñas personalizadas de la aplicación
de pago son retiradas antes de entregar la aplicación de pago a los clientes
|
Cómo
EnCase puede Ayudar
EnCase tiene
varios productos que pueden ser usados de manera singular o integrado con
test de desarrollo de software como también procesos de liberación de
software para asegurar que los datos de prueba y las cuentas son
identificadas en registros y otros archivos. Esto también puede ser remediado
antes de que se libere el software cuando se encuentra fuera de las normas de
cumplimiento.
|
8.1
|
||
Requisitos de las PCI PA-DSS
La aplicación de pago debe ser capaz de implementarse
en un entorno de red seguro. La aplicación no debe interferir con el uso de
dispositivos, aplicaciones ni configuraciones que se requieran para cumplir
con las PCI-DSS (por ejemplo, la aplicación de pago no puede interferir en la
protección antivirus, las configuraciones de firewall ni ningún otro
dispositivo, aplicación o configuración que se requiera para cumplir en las
PCI-DSS).
|
Procedimientos
de Evaluación de Seguridad
Pruebe
la aplicación de pago en un laboratorio para obtener pruebas de que se puede
ejecutar en una red que cumpleplenamente con lo
establecido en las PCI DSS. Verifique que la aplicación de pago no inhiba la
instalación de parches ni actualizaciones a otros componentes del entorno
|
Cómo EnCase
puede Ayudar
EnCase puede
auditar máquinas por procesos que se encuentran corriendo y otros tipos de
datos volatiles para asegurar que las aplicaciones
basadas en el host clave requeridas para cumplimiento de PCI DSS estén habilitadas y corriendo.
|
9
|
||
Requisitos de las PCI PA-DSS
9.
Los datos de titulares de tarjetas nunca se deben
almacenar en un servidor conectado a Internet
9.1
La aplicación de pago se debe desarrollar de manera que
el servidor de base de datos y el servidor web no tengan que estar en el
mismo servidor ni se requiera que el servidor de base de datos se encuentre
en la DMZ del servidor web.
|
Procedimientos
de Evaluación de Seguridad
9.1.a
A fin de
verificar que la aplicación de pago almacena los datos de titulares de
tarjetas en la red interna y nunca en la DMZ, obtenga evidencia de que la
aplicación de pago no requiere el almacenamiento de datos en la DMZ y que
permitirá el uso de una DMZ para separar Internet de los sistemas que
almacenan datos de titulares de tarjetas (por ejemplo, la aplicación de pago
no debe requerir que un servidor de base de datos y un servidor web se
encuentren en el mismo servidor o en la DMZ con el servidor web)
|
Cómo EnCase
puede Ayudar
EnCase
eDiscovery puede auditar todos los servidores con salida a internet y
servidores/dispositivos con host DMZ para asegurar que ningún dato del
titular de la tarjeta esté en esas máquinas. Las auditorías pueden ser
programadas regularmente y, cuando combinada con EnCase Cybersecurity puede
ser utilizada específicamente para remediar cualquier titular de tarjeta que
se encuentre fuera de cumplimiento al igual que para otro amplio espectro de
esquemas similares.
|
10.3.2
|
||
Requisitos de las PCI PA-DSS
Si los proveedores, revendedores/integradores o
clientes pueden acceder de manera remota a las aplicaciones de pago de los
clientes, el acceso remoto se debe implementar de manera segura
|
Procedimientos
de Evaluación de Seguridad
10.3.2.a
Si el
proveedor de software utiliza productos de acceso remoto para acceder de
manera remota a la aplicación de pago de los clientes, verifique que el
personal del proveedor implemente y utilice las funciones de seguridad para
acceso remoto
10.3.2.b
Si los
revendedores/integradores o clientes pueden utilizar un software de acceso
remoto, consulte la Guía de implementación de las PA-DSS preparada por el
proveedor de software y verifique que los clientes y
revendedores/integradores hayan recibido instrucciones para utilizar e
implementar funciones de seguridad para acceso remote.
|
Cómo
EnCase puede Ayudar
EnCase puede
rápidamente determinar conexiones remotas a cualquier dispositivo.
|
* Copyright 2008-2010, PCI Security Standards Council LLC
(https://www.pcisecuritystandards.org/documents/pa-dss_es-la_v2.pdf)
En el futuro,
haremos el mismo tipo de análisis de la nueva versión de Cumplimiento de PCI
(version 3) estimado para ser lanzado en Noviembre de 2013.
-
T. Grey, Ingeniero de Ventas para Latinoamérica,
Guidance Software
Si quisiera una
demostración de cómo EnCase puede asistir con el cumplimiento, fraude o
respuesta a incidentes malware, siéntase a gusto de contactar nuestro equipo de
ventas a: sales-LatAm@encase.com
RELACIONADOS
EnCase Analytics: Inteligencia de Seguridad Mediante el Análisis de Dispositivos
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
No hay comentarios :
Publicar un comentario