Nuevos requisitos para el cumplimiento del estándar PCI en entornos virtuales

El reto de cumplir con el estándar PCI (Payment Card Industry Data Security) no es algo nuevo, hace varios años que es de aplicación obligatoria y muchas compañías se han esforzado por cumplirlo.

El cumplimiento de este estándar es un proceso continuo que debe monitorizarse periódicamente para garantizar la privacidad de la información de los clientes de tarjetas de crédito. Las organizaciones que se relajan en su cumplimiento son más vulnerables a los ciberataques.

Lo cierto es que cuando muchos pensaban que ya tenían este tema “niquelado”, las reglas cambiaron. En junio de 2011, el Consejo del estándar PCI publicó una actualización importante para PCI V2.0 titulado “Suplemento de las Directrices de virtualización del estándar PCI DSS”. Esta actualización surgió como resultado de la rápida adopción de los entornos virtualizados y la necesidad de especificar con mayor claridad los requisitos para proteger la información de los titulares de las tarjetas en entornos y máquinas virtuales.

Funcionalidades clave para el cumplimiento del estándar PCI en entornos virtuales

En el cumplimiento de los requisitos del estándar PCI original intervenían una seria de tecnologías, pero las nuevas exigencias que conlleva la virtualización introducen la necesidad de otras capacidades. Específicamente, las organizaciones que deseen cumplir con los nuevos requisitos del estándar PCI deben considerar lo siguiente:

Gestión de contraseñas de usuarios con privilegios – Muchas organizaciones utilizan cuentas compartidas para los usuarios con privilegios como los administradores o root. Esta práctica a menudo da lugar a administradores que tienen un exceso de privilegios e impide asociar las acciones del administrador a un usuario determinado, lo cual incrementa el riesgo y hace que el cumplimiento sea casi imposible. Las soluciones de gestión de contraseñas de usuarios con privilegios permiten emitir contraseñas temporales, de un solo uso, o según sea necesario, de forma que cada usuario tenga su propia cuenta y sus acciones sean fácilmente trazables.

Fortificar el hipervisor - El hipervisor es, lógicamente, la “joya de la corona” de los entornos virtuales, en el sentido de que una violación podría abrir potencialmente el acceso a todas las aplicaciones y datos de cada una de las máquinas virtuales. La fortificación del hipervisor incluye los siguientes elementos:

• Restricción del uso de las funciones administrativas a las redes y dispositivos definidos, como portátiles u ordenadores de sobremesa específicos que han sido autorizados para dicho acceso.

• Autenticación de múltiples factores obligatoria para todas las funciones de administración.

• Separación de las funciones de administración de forma que los administradores de los hipervisores no tengan la capacidad de modificar, suprimir o desactivar los registros de auditoría del hipervisor.

• Antes de implementar una solución de virtualización, verificar los controles de seguridad que soporta la solución y la forma en que minimiza el riesgo de poner en peligro el hipervisor.

Un mayor control granular de las acciones de los usuarios privilegiados es clave para el cumplimiento del estándar PCI. Además, la flexibilidad de las políticas de acceso es crítica para que el acceso a los recursos del sistema, programa, ficheros y procesos pueda controlarse a través de una amplia variedad de criterios que incluyen tiempo, método de autenticación, atributos de la red y otros parámetros. 

Segregación de tareas/funciones – Los derechos de acceso, a menudo excesivos de muchos usuarios privilegiados, crea riesgos de seguridad y dificulta el cumplimiento. La separación debe aplicarse a todas las funciones administrativas, de tal manera que las credenciales de autenticación del hipervisor no deben tener acceso a aplicaciones, datos o componentes virtuales individuales.

Autenticación avanzada basada en el nivel de riesgo – Otra de las capacidades clave es la que permite asignar un valor de riesgo a cada intento de autenticación, en función de factores como ubicación del usuario, hora del día, grado de confidencialidad de las aplicaciones y anteriores patrones de comportamiento del usuario

En resumen, el mundo del cumplimiento del estándar PCI se ha hecho un poco más difícil con el aumento del uso de entornos virtuales que ha obligado al Consejo del estándar PCI a emitir nuevos requisitos más estrictos. Pero, si se consideran las multas potenciales por infracción y, más importante aún, el daño a la reputación de la compaña como resultado de una violación de seguridad, todas las organizaciones que conserven o procesen información de tarjetas de crédito considerarán el cumplimiento de estos nuevos requisitos como una cuestión de gran importancia.



Jordi Gascón, Director Solution Sales, CA Technologies