PCI Council publica la guía de seguridad inalámbrica para pagos con tarjeta

Se acaba de publicar, por parte de la PCI (Paymente Card Industry) Security Standards Council, una guía con recomendaciones básicas para que los pagos realizados con tarjetas de crédito y/o débito mediante redes LAN inalámbricas sean seguros.

Esta misma organización ha establecido con anterioridad algunos estándares que han sido exigidos por Visa, MasterCard, bancos y otras empresas con el fin de garantizar el proceso de pago. El director técnico de esta organización, Troy Leach, recuerda que estas recomendaciones de la guía PCI Data Security Standard (DSS) Wireless Guideline no son obligatorias para las empresas que gestionen los pagos de tarjetas y empleen WLAN, pero “son, con toda probabilidad, las pautas básicas con las que todas estas infraestructuras deberían estar desplegadas”.

Así pues, aunque no sean de obligado cumplimiento, esta guía completa otros 12 estándares DDS realizados por la propia PCI. Este conjunto de normas indica la dirección que, según la organización, deberían considerar todos los negocios para proteger los datos de los propietarios de las tarjetas de pago.

En la realización de esta guía se ha trabajado durante más de medio año y en ella han estado implicados unos 50 participantes. Uno de ellos es Doug Manchester, director de seguridad de producto en VeriFone Holdings, quien remarca que esta guía es específica para redes WLAN, por lo que no incluye tecnologías como Bluetooth (de hecho, se espera que en el futuro también se publiquen recomendaciones para estas otras tecnologías). En cualquier caso, el objetivo es aclarar algunas cuestiones y establecer un “vocabulario común”. “Esta guía es para los administradores de red y TI, para que sepan cómo implantar redes inalámbricas”, defiende Manchester.

Así pues, uno de los objetivos de control básico en el proceso de los datos del propietario de la tarjeta es establecer lo que se denomina con entorno de datos del propietario (cardholder data environment, CDE). Es decir, proteger los datos del usuario cuando se transfieren, se procesan o se almacenan.

Además, incluso aunque una empresa no utilice puntos de acceso inalámbricos LAN, la recomendación es que se compruebe regularmente la posible presencia de puntos de acceso fraudulentos, definidos como “dispositivos inalámbricos no autorizados que pueden acceder al CDE”. Para combatir el problema de estos puntos de acceso fraudulentos, las empresas deben utilizar un analizador inalámbrico u otras medidas preventivas, comos sistemas de prevención y detección de intrusiones (IDS/IDP) en cualquier localización CDE.

Esta organización también recomienda a las grandes empresas establecer escaneos automáticos utilizando un sistema IDS/IPS central. El reto debería ser eliminar cualquier amenaza de manera inmediata y volver a escanear la red. La guía también siguiere tener un plan de respuesta ante incidentes.

Se debería utilizar un cortafuego en las redes inalámbricas aisladas, aunque no transmitan, almacenen o procesen datos de tarjetas de crédito, según estas mismas recomendaciones, que también establece que estas mismas redes deben ser capaces de filtrar paquetes basándose en el protocolo 802.11, inspeccionar las conexiones y hacer un seguimiento del tráfico permitido y denegado por el cortafuegos según las reglas DDS de la propia PCI. Los registros del cortafuegos también deberían ser revisados todos los días y verificadas las reglas del cortafuegos al menos cada seis meses.