Sergio González.

Antes de abordar el Compliance del requerimiento 1 del PCI DSS debemos distinguir tres verticales importantes: requerimientos propios de la norma, procedimientos implícitos en la norma y aspectos técnicos vinculados con la configuración de las Tecnologías de la Información. Tres frentes que operan de manera simultánea y que no debemos concebir de manera aislada.

El requerimiento 1 enfatiza la importancia de establecer las configuraciones necesarias al entorno de redes que nos llevarán a establecer una DMZ que segmente nuestro entorno CDE entre Internet y la red interna. El requerimiento 1.1.4a precisa de forma puntual que la segmentación se realizará “at each internet connection” y entre la DMZ y la red interna, para garantizar un tráfico seguro en la transmisión de datos.

La mejor manera de conocer el estado de las redes dentro de la organización se encuentra en los diagramas de red y los diagramas de flujo, donde podemos evaluar la manera en que se transmiten, procesan y almacenan los datos de tarjeta que queremos blindar, se recomienda que dichos diagramas se trabajen mediante versionamiento estándar y se actualice conforme se configure nuestro Firewall y Router.

Recuerde que todo cambio que realice debe ser normativo y procedimental, documentándose debidamente en sus políticas de configuración de redes, debidamente versionados y protocolizadas por un Comité de seguridad dentro de la organización encargado de brindar visto bueno tanto a los cambios generados como a la narrativa que explicite los cambios efectuados en las políticas de seguridad de redes, firewalls y routers.   

El aspecto normativo y procedimental dentro de la configuración de una red segura no es simplemente un aspecto técnico, sino administrativo, que implica la gestión de procesos muy especializados que involucran la participación de distintos agentes dentro de la organización, específicamente en lo que el requerimiento 1.1.5a puntualiza como las “responsabilities for management,” que deviene en una entrevista profunda con el personal responsable para comprender los roles que establecen las responsabilidades en la ejecución, supervisión, validación y comprobación de cada cambio realizado al entorno de redes, esto es lo que en términos de gestión tecnológica nos comienza a abrir brecha hacia una conciencia de la seguridad tecnológica en tanto que involucramos agentes diversos al interior de la organización que son capaces de hacerle frente a los protocolos, servicios y puertos que pueden ser vulnerados ante las amenazas existentes.

 Al igual que la segmentación de redes a la que el requerimiento 1.1.4a nos invita, en el caso de los puertos, servicios y protocolos inseguros, se deberá revisar cada uno para valorar el impacto que pueda recibir de cara a las amenazas y posibles vulnerabilidades que enfrente nuestro entorno de red, en este sentido el requerimiento 1.1.6c enfatiza “implemented for each insecure service, protocols and ports,” que nos hace una antesala a la creación de un programa de revisión de firewalls y routers como regla, de manera obligatoria, cada seis meses mínimo, como se enfatiza en el requerimiento 1.1.7.

El requerimiento 1 del PCI DSS nos lleva de la mano, una vez segmentada nuestra red, a establecer los procesos necesarios en materia de seguridad para restringir el tráfico inbound-outbound del Cardholder Data Enviroment (CDE), restricción que debemos realizar en tres sentidos: identificación del tráfico a restringir, restricción del tráfico requerido y el tráfico que estará estrictamente denegado a todo aquél usuario que no debe de entrar en contacto con nuestro CDE, acceso restringido exclusivamente a las funciones propias de la organización en el tratamiento de los datos de tarjeta.

En este proceso de “deny all traffic” nuestros routers juegan un papel crucial en un entorno seguro de redes ya que deberán ser sincronizados para restringir accesos no autorizados bajo los modos running y start-up. De la misma forma, la configuración de nuestros firewalls debe establecer un perímetro de seguridad entre el Wireless y el CDE, con lo que evitamos filtraciones de seguridad a nuestro núcleo de datos seguros, aquí el requerimiento 1 nuevamente nos abre la pauta para permitir el tráfico necesario sólo para propósitos específicos dentro de la organización, mi recomendación es que cuando los “business purposes,” toquen entornos de seguridad como en este caso el CDE, se realicen auditorías periódicas para controlar los accesos lógicos.

Firewalls como Palo Alto, Check Point y Fortinet son altamente intuitivos para propósitos de seguridad en redes, aunado a ello, la configuración de una DMZ es recomendable y estrictamente obligatoria dentro del requerimiento 1 del PCI DSS para limitar el tráfico de datos entre los componentes del sistema que proveen servicios, así como los protocolos y puertos que pueden ser susceptibles de verse afectados por anti-spoofing. De manera complementaria, el requerimiento en cuestión provee medidas para restringir todo tráfico de internet hacia fuera del CDE, un mecanismo eficaz puede ser complementar nuestras medidas de segmentación con una herramienta de Data Loss Prevention (DLP) con la que cumpliremos el numeral 1.3.4 de manera efectiva.

Un firewall y un router seguros deberán proveernos de un tráfico restringido a componentes y segmentos de la red interna, los cuales no deben establecer brechas de seguridad que comuniquen segmentos, puertos o servicios que han quedado previamente aislados en nuestro CDE. Aunado a ello, ejecute de forma minuciosa métodos probados en materia de seguridad de redes para el enmascaramiento del IP, algunos de los más usuales incluyen el Network Address Translation que se configura en routers y facilita que los paquetes de dos redes distintas sean incompatibles, enmascarando direcciones y paquetes transportados. Otro método es el Request for Comments: 1918, mejor conocido como RFC 1918, el cual asigna direcciones IP privadas en redes TCP, altamente recomendado para uso interno en la organización. Además, encontramos el método de enmascarar nuestro CDE detrás de un servidor proxy, lo que permite fungir como intermediario entre las peticiones gestadas en ambos extremos de la arquitectura cliente-servidor.

Finalmente, un aspecto más a considerar es el acceso desde dispositivos personales que los miembros de la organización pueden tener al CDE, aquí, lo más recomendable será instalar un “personal firewall software,” para los equipos autorizados cuyas funciones dentro de la institución demanden acceso a nuestro entorno de seguridad. Desafortunadamente no podemos controlar el acceso externo que nuestros usuarios realizan desde otros Wireless fuera de la red segura de la organización, pero sí podemos concientizar sobre los riesgos y salvaguardar la seguridad de la información que se procesa en nuestros equipos, por ello es importante que la configuración de dichos firewalls se defina por protocolos de seguridad documentados, que se verifique periódicamente que trabaje en su modo running y que no sea alterable por los usuarios.

Si buscas capacitación profesional en materia de PCI DSS para tu empresa, contáctame, tengo una metodología pedagógica propia que te permitirá dominar la norma.