La transparencia en la nube sigue siendo problema para el cumplimiento del PCI DSS, según expertos

Robert Westervelt

La transparencia en la nube sigue siendo el mayor problema a la hora de adoptar servicios basados en la nube, según informa un experto, que afirma que mantener el cumplimiento de PCI en la nube es posible, pero que los comerciantes todavía deben levantar un muro a la hora de obtener visibilidad entre los sistemas y procesos en la nube.

Se ha hablado mucho sobre la transparencia, pero realmente no se he visto muchos cambios prácticos.

Diana Kelley,
Socia, SecurityCurve

"Se ha hablado mucho sobre la transparencia, pero realmente no se ha visto muchos cambios prácticos,” afirma Diana Kelley, Socia de la consultora Security Curve de Amherst, New Hampshire.

Asistimos a una asunción lenta de los servicios basados en la nube. Los comerciantes que están moviendo sus sistemas de pago a la nube, o lo están considerando, están esperando la orientación del PCI Security Standards Council (PCI SSC) para asegurarse de que cumplen con las normas PCI durante y después de la transición. Según Kelley se ha logrado cierto progreso. La Alianza de Seguridad en la nube (CSA) una entidad no lucrativa, está liderando un movimiento para estandarizar la  transparencia de las practicas de seguridad de los proveedores en la nube.

Sin embargo los proveedores de pagos en la nube siguen obligando a sus clientes a firmar contratos donde la responsabilidad última de los datos de las tarjetas de crédito recae en el comerciante. Sin embargo no proporcionan la visibilidad y documentación necesaria para mantener ese cumplimiento.

Muchos servicios basados en la nube se niegan a ser auditados, según Kelley. Las grandes empresas si pueden forzar a su proveedor en la nube para que acepte una auditoria, pero las pequeñas empresas no. “Si no eres lo suficientemente grande para ellos no les importa dejarte ir”, afirma Kelley

La orientación en cumplimientos PCI esta copando el gasto en tecnología, según el experto

Aunque no se prevén actualizaciones de PCI DSS hasta finales de 2012, las empresas ya están trabajando en las iniciativas de cumplimiento, según Diana Kelley de Security Curve.

En una entrevista concedida a SearchSecurity.com, Kelley explica como las empresas están usando los últimos documentos de cumplimiento PCI y por qué el uso de encriptación punto a punto (P2P) y de informes de virtualización puede ayudar eficazmente a los comerciantes a reducir los entornos de gestión de tarjetas de crédito y a poder purgar los datos de esas tarjetas de sus sistemas.

La PCI DSS no será actualizada hasta finales de 2013. ¿Están las empresas invirtiendo ya en tecnologías relacionadas con el cumplimiento de las PCI?

Diana Kelley: De momento tenemos una PCI DSS, y aunque se actualiza en ciclos de tres años, ya está empleando cierta tecnología emergente. Algunas cuestiones que merecen cierta priorización están siendo gestionadas a través de grupos especiales de interés (SIGs) y requieren de orientación por separado. En este punto da igual que se publique algo por separado de la PCI DDS, pero creo que sí estarán muy relacionadas. Es posible echar un vistazo a las orientaciones, tenerlas en cuenta y hacerlas parte del programa global de cumplimiento de PCI pero todavía tienen que cumplir con la PCI DSS. Por eso se ven como un paraguas general.

Algunas de estas organizaciones de tecnología emergente están priorizando áreas como la virtualización. Existe una guía separada que trata concretamente de los avances en el último año sobre virtualización. Todo sobre la nube. La nube va a ser la estrella de este año. La “tokenizacion” es otro ejemplo de esas tecnologías emergentes insertadas dentro del CDE (Entorno de gestión de tarjetas) que no figura en concreto en el PCI DSS.

Hablemos del cumplimiento de la PCI en la nube. ¿Hay problemas de arquitectura a la hora de adoptar soluciones en la nube por parte de los comerciantes?

Kelley: Si y no. Sabemos que hay tres modelos de arquitectura en la nube: infraestructura, plataforma y uso de software como servicio (SaaS). Cuando vemos como está adoptando la gente la PCI, vemos que la mayoría usa el software como si usaran una puerta de acceso. Con este modelo concreto, si usted es el proveedor de esa puerta de enlace, se preocupa del cumplimiento PCI DSS, esta certificado y entiende las necesidades reales- y por supuesto no almacena datos de tarjetas – puede ser algo muy beneficioso, especialmente para las pequeñas empresas e incluso para algunas grandes. Estamos reduciendo el ámbito de lo que se necesita para cumplir la PCI. Si no almacena datos de tarjetas y tampoco las gestiona entonces no tiene más que demostrar que es lo que ocurre con los datos de las tarjetas cuando acceden al proveedor de pagos y probar que ese proveedor de pagos está trabajando tal como indica el acuerdo. Cuando lo que usamos es un software propio de pagos, como Plataforma de Servicios (PaaS) o mediante infraestructura (IaaS) entonces las cosas cambian un poco.

Si está usando algo similar a una infraestructura entonces usted es responsable de la protección de los datos y configuración, de cómo los datos se usan en esta infraestructura y de ver que toda la gestión sea segura. Pero quizá tampoco tenga demasiado control sobre lo que necesita saber para ver si todo se hace correctamente. En los entornos en la nube no se permiten las auditorias y es posible que no disponga de toda la información de acceso necesaria. Así que surge un poco de confusión…Tampoco existe una gran transparencia a la hora de enfrentarse a los problemas que surgen y a poder entender cómo funciona esa nube ya que el proveedor afirma “es mi centro de datos”. Así que ¿hasta qué punto podemos ser capaces de saber qué es lo que está pasando?

El 30 de junio la PCI DSS 6.2 se convierte en un requisito. Requiere la creación de un proceso para asignar un nivel de riesgo a las vulnerabilidades recientemente descubiertas. ¿Puede comentarnos algo al respecto?

Kelley: Es algo significativo a la hora de actuar y evaluar vulnerabilidades para lograr entenderlas mejor. En el sistema de parcheo de vulnerabilidades anterior del PCI DSS tenias 30 días para hacerlo. Ahora te dicen que tienes que hacer una evaluación de riesgos, priorizar los parches e instalarlos en cierto tiempo. Por eso es necesario estar al tanto de que vulnerabilidades hablamos y tener la información sobre las mismas. Es necesario aceptar esa fuente de información. Puede ser mediante información pública o de los propios fabricantes que gestionan vulnerabilidades [proporcionado una lista de fuentes de información]. Esto es algo que las empresas pueden hacer y deberían implementar. El cambio que ahora la gestión de vulnerabilidades se realiza por completo sobre la PCI. Las empresas ya lo veían venir: lo estaban haciendo y estaban preparados para ello

Se han emitido gran cantidad de documentos orientativos. El mensaje principal parece ser una reducción en el ámbito de actuación. ¿Es correcto?

Kelley: Uno de los aspectos fundamentales es como poder reducir el ámbito y mejorar las funciones de protección. Si vemos la encriptación de punto a punto, permite encriptar los datos desde el inicio sin tener que preocuparnos ya que los puntos salen encriptados desde el punto de venta así se transmiten hasta el punto de gestión donde el CDE (entorno de gestión de datos de tarjetas) comienza. No es necesario tener el CDE en todas partes cuando tienes solo un punto de venta. Es algo que ha dado varios problemas. Algunas brechas de seguridad han estado relacionadas con los terminales de punto de venta WiFi, a pie de tienda, cuando transferimos los datos a través del aire. Puede haber alguien capaz de robarlos.

Las orientaciones para la encriptación de punto a punto parecen tener un lenguaje interesado. En el documento se afirma que “el comerciante debería actuar junto con el banco.” ¿Es un nuevo mensaje desde la junta?

Kelley: Creo que puede ser un mensaje bastante directo desde la junta. Realmente no es algo nuevo para el mundo PCI, ya que se nos lleva diciendo desde hace mucho tiempo. He hablado con muchos QSA y analistas que ofrecían mensajes parecidos desde hace mucho tiempo. La razón es que pronto llegaremos a un punto en que queramos desempatar la cuestión. Un punto en el que las personas, de forma razonable, no estén conformes con los procesos de cumplimiento de la certificación. ¿Y entonces quien resuelve ese desacuerdo? Si no se expresa de forma clara en el DSS todo lo que está escrito queda abierto a interpretación. La junta hace todo lo que puede por ser clara en el lenguaje. Los programas de cumplimiento, sin embargo, siguen estando en manos de solo cinco empresas de tarjetas. Son quienes tienen el mando pero sin embargo no quieren implicarse. Así que muchas veces vuelcan la responsabilidad en el banco. Que la entidad quiera ser juez, o no, es otra cuestión.

Unirse a la conversación Comenta

Compartir
Comentas

    Resultados

    Contribuye a la conversacion

    Todos los campos son obligatorios. Los comentarios aparecerán en la parte inferior del artículo