PCI / DSS: Cumplimiento en entornos cloud

El PCI Security Standard Council (responsable de los estándares de seguridad de datos en los pagos con tarjeta) editó hace unos meses una guía para clarificar el reparto de responsabilidades entre los proveedores de servicios en régimen de cloud computing  y las organizaciones consumidoras de estos servicios, cuando la prestación del servicio implica el tratamiento de datos de tarjetas financieras. En este post vamos a resumir las cuestiones principales que plantea esta guía.

Una de las asignaturas pendientes en muchas ofertas de servicios en régimen de Cloud Computing es la falta de transparencia y garantía en cuanto a cómo se verán cubiertos los requisitos de cumplimiento legal y seguridad de la información de las empresas cliente. En este contexto, el procesamiento en la nube de datos de tarjetas financieras cobra una relevancia especial al tratarse de información muy codiciada por las redes de ciberdelincuentes.

Consideraciones generales del PCI Security Standard con respecto al Cloud Computing

  • Más allá de la reducción de costes que conllevan los servicios en la nube y la disminución de responsabilidades en la administración de la plataforma técnica, los clientes deben ser conscientes de que este modelo de prestación de servicios también puede conllevar una importante pérdida del control sobre los datos sensibles de su negocio. La garantía de que el proveedor de servicios aplica y mantiene las medidas de seguridad requeridas para el tratamiento de datos relacionados con tarjetas financieras, debe articularse alrededor de las cláusulas contractuales de la prestación del servicio,  un acuerdo de nivel de servicio (SLA) asociado y un ejercicio de diligencia debida continuado por parte del cliente.
  • Los clientes deben realizar una monitorización continua y una validación de que los controles aplicados por el proveedor son efectivos. Del mismo modo, los proveedores de servicios en la nube deben ser capaces de proporcionar a los clientes evidencia fehaciente y garantía de que está gestionando adecuadamente el control en nombre de sus clientes.
  • El cumplimiento de la normativa PCI/DSS por parte de un proveedor de servicios cloud, no garantiza necesariamente el cumplimiento por parte de los clientes; por ejemplo, un proveedor puede usar protección antivirus en sus sistemas, sin embargo este control puede no extenderse a los sistemas operativos de las máquinas virtuales usadas por los clientes.
  • Aquellas organizaciones que estén evaluando el almacenaje, procesamiento o transmisión de datos de tarjetas en un entorno cloud, deben comprender el impacto que esta decisión pueda tener en el alcance de su entorno de cumplimiento con la normativa PCI/DSS. Algunas recomendaciones para reducir o simplificar el alcance en un entorno en la nube incluyen:

o    Evitar almacenar, procesar o transmitir datos de tarjetas en la nube. Esta es la manera más efectiva de mantener el entorno cloud fuera del alcance de cumplimiento, dado que los controles PCI/DSS no son requeridos si no hay datos que necesiten ser protegidos.

o    Como alternativa, implementar una infraestructura física dedicada al tratamiento de datos de tarjeta, de modo que el alcance de cumplimiento quede reducido a este entorno aislado. Ello ayuda a simplificar el cumplimiento. Una vez definido, el cliente debe asegurarse de que el proveedor será capaz de mantener en el tiempo los controles que garanticen el perímetro de seguridad de este entorno aislado.

o    Reducir al máximo el número de controles para la protección de los datos de tarjeta que sean responsabilidad y dependan del proveedor de servicios.

  • Uso del cifrado de los datos almacenados en la nube, para asegurar que los datos de tarjeta nunca son accesibles en texto claro en el entorno cloud. Esto se puede conseguir cuando el cliente del servicio realiza en su propio centro de proceso de datos todas las actividades de cifrado y descifrado de la información y tiene la responsabilidad sobre la gestión y rotación de las claves de cifrado. De este modo, el cliente usa la nube únicamente para almacenar los datos cifrados.
  • Los clientes deben buscar garantía de que en todo momento las bases de datos y las infraestructuras tienen medidas de seguridad física apropiadas. Esto puede ser complicado en entornos en la nube, donde la ubicación física de los recursos puede variar con el tiempo.
  • Los clientes deben considerar si sus requisitos de continuidad de negocio (ej: en caso de catástrofe) pueden verse cubiertos debidamente por los procedimientos del proveedor de servicios.

Distribución de responsabilidades PCI/DSS

La siguiente tabla, tomada de la guía “PCI/DSS Cloud Computing Guidelines”, proporciona ejemplos de cómo distribuir las responsabilidades en el cumplimiento de la normativa entre los clientes y los proveedores de servicios en cada una de los diferentes modelos de servicio: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) y Software as a Service (SaaS) :

Requisito PCI DSS Consideraciones Ejemplo asignaciónde responsabilidades
IaaS PaaS SaaS
Requisito 1:Instalar y mantener una configuración de firewall para proteger los datos IaaS y PaaS: La seguridad de red es una responsabilidad compartida. Típicamente el proveedor  proporciona seguridad en el perímetro de la nube y entre los clientes y éstos se responsabilizan de la seguridad dentro de sus propios entornos.

SaaS: La responsabilidad es completa por parte del proveedor del servicio

 

NOTA: En todas las modalidades, sin embargo, es responsabilidad del cliente aprobar y revisar periódicamente los servicios, protocolos y puertos permitidos en sus entornos.

 

Cliente y Proveedor Cliente y Proveedor Proveedor
Requisito 2:No usar configuraciones por defecto de los sistemas para las contraseñas y otros parámetros de seguridad

 

IaaS: La configuración y securización del Sistema Operativo y las aplicaciones es responsabilidad del cliente, mientras que la de los dispositivos de niveles inferiores a las máquinas virtuales de los clientes corre a cargo del proveedor.

PaaS: Normalmente, la configuración de red y el nivel del Sistema Operativo de las máquinas virtuales, es responsabilidad del proveedor, responsabilizándose los clientes de la configuración del software y las aplicaciones de nivel superior.

 

SaaS: La responsabilidad es completa por parte del proveedor del servicio en lo relativo a la configuración y securización del sistema operativo y las aplicaciones.

 

Cliente y Proveedor Cliente y Proveedor Proveedor
Requisito 3:Proteger los datos de tarjeta (y del titular) almacenados.

 

IaaS y PaaS: El cliente es generalmente el responsable de la manera en que la información y los sistemas son protegidos (por ejemplo con el uso de cifrado). Sin embargo, el proveedor que controla el sistema de almacenamiento debe participar para adecuarse a los requisitos de los clientes por ejemplo, en términos de retención de datos y ayudando a los clientes a identificar todas las ubicaciones relevantes de datos.

SaaS: La responsabilidad es completa por parte del proveedor del servicio

 

Cliente y Proveedor Cliente y Proveedor Proveedor
Requisito 4:Encriptar la transmisión de datos de tarjeta (y del titular) sobre redes públicas abiertas.

 

IaaS y PaaS: Los mecanismos para la transmisión de datos están normalmente controlados por el cliente. Los controles para prevenir la transmisión no controlada fuera del entorno de cliente  son responsabilidad del proveedor.

 

SaaS: La responsabilidad es completa por parte del proveedor del servicio

 

Cliente Cliente y Proveedor Proveedor
Requisito 5:Usar y actualizar regularmente sistemas anti virus

 

IaaS: La protección del Sistema Operativo de las máquinas virtuales mediante sistemas anti virus es responsabilidad del cliente.

PaaS: Normalmente gestionado por el proveedor, aunque dada la diversidad en la que los proveedores proporcionar servicios en este modelo, puede que los clientes tengan alguna responsabilidad a nivel de Sistema Operativo.

 

SaaS: La responsabilidad es completa por parte del proveedor del servicio

 

Cliente Cliente y Proveedor Proveedor
Requisito 6:Desarrollo y Mantenimiento de aplicaciones y sistemas seguros

 

IaaS: El parcheado y mantenimiento del Sistema Operativo y las aplicaciones son responsabilidad del cliente, mientras que por debajo del nivel del Sistema Operativo, el parcheado de los dispositivos es responsabilidad del proveedor. La responsabilidad sobre la programación de aplicaciones siguiendo prácticas de codificación segura recae sobre el cliente.

PaaS: El parcheado y mantenimiento del Sistema Operativo es normalmente gestionado por el proveedor, aunque dada la diversidad en la que los proveedores proporcionar servicios en este modelo, puede que los clientes tengan alguna responsabilidad a nivel de Sistema Operativo. El parcheo de aplicaciones es normalmente responsabilidad del cliente. La responsabilidad sobre la programación de aplicaciones siguiendo prácticas de codificación segura recae sobre los que desarrollen las aplicaciones. En cualquier caso, los clientes pueden (y deben) supervisar el parcheado a tiempo y completo de los sistemas.

 

SaaS: Normalmente responsabilidad del proveedor aunque con supervisión  por parte del cliente.

 

Cliente y Proveedor Cliente y Proveedor Cliente y Proveedor
Requisito 7:Restricción del acceso a los datos de tarjeta (y del titular), de acuerdo a la necesidad de saber

 

IaaS y PaaS: Generalmente, el cliente es responsable de la definición de los niveles de acceso; sin embargo, el proveedor que controla el sistema de almacenamiento debe participar para adecuarse a los requisitos de los clientes por ejemplo y ayudando a los clientes a identificar todas las ubicaciones relevantes de datos.

SaaS: El cliente control el acceso a datos de acuerdo a las necesidades de su personal; sin embargo, el acceso a los datos es en último término controlado por el proveedor.

 

Cliente y Proveedor Cliente y Proveedor Cliente y Proveedor
Requisito 8:Asignar un identificador único a cada persona con acceso lógico

 

IaaS y PaaS: En la infraestructura subyacente, la responsabilidad de proveer autenticación fuerte e identificadores únicos es del proveedor. El cliente debe responsabilizarse de esto mismo en todas las cuentas de acceso bajo su control.

SaaS: El proveedor es el que tiene el control sobre las cuentas de acceso, aunque en algunos casos los clientes pueden tener un papel limitado en la creación de cuentas de usuario individuales a nivel de la aplicación.

 

Cliente y Proveedor Cliente y Proveedor Cliente y Proveedor
Requisito 9:Restringir el acceso físico a los datos

 

En todos los modelos de servicio es el proveedor el que tiene la responsabilidad Proveedor Proveedor Proveedor
Requisito 10:Registra y Monitoriza todos los accesos a los recursos de red y a los datos de tarjetas (y sus titulares)

 

IaaS y PaaS: Normalmente el proveedor controla la monitorización de la infraestructura subyacente incluyendo los hipervisores, mientras que los clientes son responsables de sus entornos virtuales.

SaaS: responsabilidad del proveedor, aunque el cliente puede tener a nivel de aplicación acceso a logs de accesos a nivel de aplicación.

 

Cliente y Proveedor Cliente y Proveedor Proveedor
Requisito 11:Hacer tests regulares de la seguridad de los sistemas y los procesos

 

IaaS y PaaS: La responsabilidad recae sobre cada cual en lo relativo a los aspectos del entorno que están bajo su responsabilidad. Sin embargo, en algunos casos los proveedores pueden prohibir a los clientes realizar este tipo de pruebas de seguridad. En estos casos, los clientes deben delegar esta tarea a los proveedores y asegurarse  de que los tests realizados por los proveedores se ajustan a sus requisitos y cubren las instancias de máquinas virtuales relevantes.

SaaS: responsabilidad del proveedor.

 

Cliente y Proveedor Cliente y Proveedor Proveedor
Requisito 12:Mantener una política de Seguridad de la Información

 

Todos los modelos de servicio: Los clientes deben asegurarse de que las políticas y procedimientos del proveedor se ajustan a sus necesidades y requisitos, especialmente en los procedimientos de respuesta ante incidentes. Cliente y Proveedor Cliente y Proveedor Cliente y Proveedor
Requisitos adicionales para proveedores de hosting compartido Los requisitos para asegurar la separación entre los datos de diferentes clientes son responsabilidad de los proveedores de servicios cloud. Proveedor Proveedor Proveedor

Artículos relacionados

Deja un comentario