Archivo de la categoría: PCI DSS

Aclaraciones relativas a PCI DSS

3 respuestas

El pasado 22 de abril de 2008, el PCI SSC (Payment Card Industry Security Standards Council) ha hecho pública una nota aclaratoria sobre el cumplimiento de algunos aspectos de la norma PCI DSS (Data Security Standard).

Según la nota, se publican dos suplementos informativos que aclaran la aplicación de los requerimientos 11.3 relativo a las comprobaciones de penetración (hacking ético) y 6.6 relativo a la revisión del código o su alternativa, el uso de firewalls de nivel de aplicación.

En relación con el requerimiento 11.3, se aclara quien puede llevar a cabo este tipo de análisis de penetración, su alcance y frecuencia, su metodología y los componentes de las técnicas de comprobación.

En relación con el requerimiento 6.6 (el famoso requerimiento que entraba en vigor a finales de junio de 2008 ) se dan varias opciones a las alternativas de revisión de código y de uso de cortafuegos de nivel de aplicación.

Para la revisión de código se admite:

  • Revisión manual del código fuente
  • Uso adecuado de herramientas automáticas de revisión de código fuente (Analizadores)
  • Asesoría sobre adaptación manual de sistemas frente a vulnerabilidades de seguridad de aplicaciones web
  • Uso adecuado de herramientas automáticas de revisión de vulnerabilidades de seguridad de aplicaciones web (Analizadores)

En relación con la alternativa de uso de un cortafuegos de nivel de aplicación (WAF: Web Application Firewall), se indican las funcionalidades recomendadas de ese tipo de soluciones, las funcionalidades que dependen del entono de uso, consideraciones para las organizaciones que los implementan y fuentes de información complementarias sobre seguridad de aplicaciones web.

PCI DSS en España

3 respuestas

En la charla que impartí ayer en el CIT 2008 (en el marco de Expo CIT 2008) sobre PCI DSS comenté la situación sobre el nivel de adopción de la normativa PCI  DSS en España.

En el momento actual solo 2 entidades procesadoras han superado las auditorias de PCI DSS (AIS en Visa, SDP en MasterCard)  como cumplidoras de los requisitos de seguridad mencionados.

  • ATCA (Asociación Técnica de Cajas de Ahorro) que todavía no aparece en los listados de Visa  pero que ya ha anunciado la superación de la Auditoría.
  • First Data Ibérica que sí aparece (doy las gracias a Alfonso Unzurrunzaga que me ha aclarado que First Data fue la primera entidad española en llevar a cabo la auditoria PCI DSS en el marco de la actuación global de Firs Data, desde el año 2006)

Aunque la denominación AIS de Visa tiende a desaparecer, todavía se emplea en algunos sitios web de VISA.

Albalia Interactiva ayuda a los grandes comercios a llevar a cabo la adecuación PCI-DSS (junto con la cumplimentación del SAQ – Self Assessment Questionnaire) con unos costes muy competitivos.

Estos son los niveles de transacciones y sus correspondientes exigencias:

Volumen anual de transacciones Transacciones de tipo estándar: pedidos – transacciones telefónicas, por correo, transacción de comercio electrónico
Medidas
Verificación anual in situ Control trimestral de seguridad Datos personales en forma de cuestionario
Más de 6.000.000 de transacciones Todas Obligatoria Obligatorio
Menos de 6.000.000 de transacciones Transacciones de tipo estándar / pedidos – transacciones telefónicas, por correo Recomendado Recomendado
Entre 20.000 y 6.000.000 de transacciones Comercio electrónico Obligatorio Obligatorio
Menos de 20.000 millones de transacciones Comercio electrónico Recomendado Recomendado

Dominios y Requisitos PCI-DSS

3 respuestas

PCI Security Standards CouncilA principios del año 2000, Visa creó el Account Information Security (AIS) Program en Europa y el Cardholder Information Security Program (CISP) en Estados Unidos, que se impusieron a nivel mundial a los bancos miembros, a sus proveedores y grandes comercios en el 2001.

De forma similar, MasterCard impuso el Site Data Protection (SDP) Program junto con otros equivalentes de las grandes marcas de tarjetas American Express (Data Security Operating Policy – DSOP), Diners Club y JCB.

Aunque motivados por las mismas razones, los procedimientos de validación de cada marca para establecer su cumplimiento eran específicos, lo que desencadenó una demanda de unificación de criterios.

Por ello nació el Payment Card Industry (PCI) Data Security Standard (DSS), que se anunció en enero de 2005 como esfuerzo conjunto de Visa y MasterCard, al que se sumaron el resto de marcas.

Su adopción es obligatoria desde  junio de 2007 y las marcas pueden imponer sanciones a las entidades que no realicen las auditorías prescritas.

En el estándar se establecen 6 dominios y 12 requisitos que señalo a  continuación (como no me gusta la traducción oficial, yo he hecho la mia).

  • Cree y Mantenga una Red Segura
    • R. 1: Proteja los datos con un Firewall cuya configuración se mantenga correctamente
    • R. 2: Nunca utilice valores por defecto en claves y parámetros de seguridad
  • Proteja los Datos de los Titulares (Tarjetahabientes) 
    • R. 3: Proteja los datos almacenados 
    • R. 4: Cifre las transmisiones de información sensible como datos de los titulares en Redes Públicas
  • Mantenga un Programa de Gestión de Vulnerabilidades
    • R. 5: Utilice un anti-virus permanentemente actualizado
    • R. 6: Desarrolle y mantenga sistemas y aplicaciones seguros 
  • Despliegue Medidas de Control de Acceso Robustas
    • R. 7: Restrinja el acceso a los datos a quienes lo tengan atribuido por su actividad.
    • R. 8: Asigne identificadores (códigos de usuario) únicos a cada persona que disponga de acceso informático.
    • R. 9: Restrinja el acceso físico a los datos de los titulares
  • Monitorice y Compruebe las Redes regularmente 
    • R. 10: Registre y monitorice cualquier acceso a recursos de red y a datos de titulares
    • R. 11: Compruebe regularmente los sistemasy los procesos  de seguridad.
  • Mantenga una Política de Seguridad de la Información
    • R. 12: Mantenga una política que contemple la seguridad de la información

CIT estrena Blog

Deja un comentario

El CIT (Congreso Internacional de Tarjetas) ha superado las 10 ediciones y llega este año redefiniendo su vocación «El evento ibérico de Smart Cards, Identificación y Medios de Pago«. Se celebra desde el 1 al 3 de Abril de 2008 en el Palacio Municipal de Congresos (Campo de las Naciones, Avda. Capital de España Madrid, s/n. 28042 Madrid)

La XI edición, CIT’2008, se consolida como punto de encuentro del sector bancario en los aspectos más tecnológicos, y con la incorporación de otros sectores, como el del transporte, en los que se usan también las diferentes clases de tarjetas de plástico.

Y ahora con una nueva iniciativa: el Blog del CIT 2.0 .  Un espacio abierto a la información y el debate en un nueva dimensión abierta a la interactividad. CIT 2.0. pretende recoger los comentarios acerca de las novedades del sector así como la opiniones y/o sugerencias en torno al propio evento.

A ver si nos vemos por allí. Yo estaré presidiendo la jornada del dia 3, en el track de Identidad Digital y dando algunas ideas para el despliegue del DNI electrónico en las entidades financieras.

Y el dia 2 estaré en la Zona Expo CIT con un Workshop sobre PCI-DSS que espero que os parezca interesante.

SABECO introduce el EMV y se prepara para SEPA

2 respuestas

La cadena de distribución SABECO, perteneciente al Grupo Auchan, ha puesto en marcha el nuevo sistema de cobro EMV (Europay Mastercard Visa) basado en la tecnología chip.

En una primera fase es posible pagar con tarjetas chip en dos supermercados de Zaragoza (en C.C Audiorama y Av. América) y en el hipermercado SABECO de Huesca. Está previsto que en 2008 el sistema se encuentre implantado en todos los supermercados e hipermercados de la compañía. Las nuevas tarjetas  con circuito integrado (chip), requieren para su uso de un código de cuatro dígitos (PIN) que sólo el cliente conoce, por lo que de forma genérica su principio de funcionamiento se denomina «chip y PIN» en contraposición con el principio de «banda magnética y firma manuscrita» que se viene adoptando de forma tradicional.

Las tarjetas con chip son, por ahora, infalsificables, a diferencia de las tarjetas con banda magnética, que se pueden copiar fácilmente. El uso de tarjetas con chip se ciñe al estándar denominado EMV,  creado por Visa, Mastercard y Europay (antes de que Europay se integrara en MasterCard), y su uso se extenderá a todas las tarjetas emitidas por las entidades financieras de la Zona Euro, como consecuencia de la implantación del SCF (SEPA Card Framework, Marco de Tarjetas SEPA) a partir de enero de 2008.

Además SABECO ha adaptado sus sistemas de cobro con tarjeta (incluidos los que leen la banda magnética) al SNCP (Solución Nacional de Cifrado de Pistas). Este sistema definido por las entidades procesadoras de medios de pago españolas simplifica los requisitos que los grandes comercios deben cumplir para satisfacer las exigencias de la norma PCI DSS.

El sistema SNCP consiste en cifrar todos los datos con claves únicas solo conocidas por los operadores de las entidades bancarias, para transportar los datos desde que se recogen en el terminal del punto de venta, hasta que llegan a las entidades.

En la actualidad SABECO cuenta con 95 supermercados e hipermercados bajo la enseña SABECO, 27 supermercados Simply Market 117 supermercados asociados Aro Rojo, 13 gasolineras y se encuentra presente en 9 Comunidades Autónomas: Aragón, Cataluña, Castilla-La Mancha, Castilla-León, Comunidad Valenciana, La Rioja, Madrid, Navarra y País Vasco.  En todo el territorio SABECO emplea a 6.500 personas.

Jornada sobre Seguridad en Medios de Pago PCI-DSS

1 respuesta

El próximo 7 de noviembre de 2007 Internet Security Auditors organiza una jornada sobre la norma PCI DSS y sus implicaciones para la seguridad en los medios de pago.

El evento resolverá las dudas y lagunas sobre este estándar, por ejemplo la fecha límite para su cumplimiento (que ya se ha superado desde el 30 de junio de 2007), las obligaciones contractuales de los implicados, etc.

Tendrá lugar en el hotel NH Eurobuilding (Padre Damián, 23. 28036 Madrid).

Programa de la jornada en PDF.

Preguntas y respuestas sobre la adopción de 3D Secure y EMV en España

4 respuestas

Recientemente he participado en una encuesta sobre medios de pago, centrada en 3D secure y EMV, algunas de cuyas preguntas (y respuestas) pueden ser de interés para quienes trabajan en el mundo de los medios de pago. No dejan de ser opiniones personales circunscritas la mercado español, por lo que agradeceré vuestras opiniones tanto si coincidís con las mías como si disentís.

¿Su institución (en su carácter de emisora de tarjetas de crédito y débito) utiliza alguna solución 3D Secure? ¿Desde qué año?

Albalia Interactiva no emite tarjetas, pero yo he estado vinculado con el 3D secure desde el año 2000, y desde antes con el sistema SET.

¿Porqué cree que pese a estar España relegada en el nivel de Comercio Electrónico con sus vecinos europeos ha sido el primero y más amplio en implementar 3D?

Porque previamente se intentó implementar SET de forma amplia con ciertas dificultades por incompatibilidad de soluciones y complejidad añadida al pago desde el punto de vista de usuario. Y no es cierto que el nivel de Comercio Electrónico en España sea inferior al de otros paises europeos. Le recuerdo que la mayor parte del comercio 3D del MUNDO se lleva a cabo en España.

¿Cómo considera -7 años después- el estadio del 3D Secure? ¿Ha triunfado o fracasado? ¿Porqué?

Ha fracasado. Porque la adopción fuera de España es muy baja y no tiene apoyo de las marcas VISA y MasterCard, especialmente en Estados Unidos.

Respecto a España es un éxito clamoroso por su adopción, pero la percepción de ser una isla digital implica que no hay excesivas barreras para adoptar mecanismos alternativos como Mobipay, en el que también España es pionera.

¿Los TPV Virtuales utilizados por las tiendas virtuales, son propios o pertenecientes a la procesadora de pagos?

En algunos casos son de las procesadoras, y en otros de entidades financieras. En España se usa el modelo triangular, por lo que es fácil migrar a cualquier plataforma de autenticacion de transacciones. No se da el caso de TPV virtual propio, salvo en grandes entidades que también disponen de lineas dedicadas para las transacciones presenciales.

¿La utilización es exclusivamente a través de su red de pagos o está implementada internamente?

El modelo triangular implica que la fase de pago (dentro del proceso de carrito de la compra) se lleva a cabo en la entidad financiera adquirente o en su procesador asociado.

Prácticamente hablando, ¿La implementación del 3D Secure es exclusivamente un tema a cargo de su procesadora de pagos? ¿Qué recae a cuenta de la institución?

La institución define el mecanismo de autenticación del titular. Frecuentemente delega este tema tambén en la procesadora.

¿Qué relación existe entre los sistemas de seguridad de la Banca Electrónica y del Comerció Electrónico?

En ocasiones coinciden, pero no de forma generalizada. Ahora se está debatiendo la posibilidad de utilizar calculadoras OTP comunes para toda la banca a partir de tarjetas EMV con autenticación dinámica. Esto unificaría la visión de seguridad de banca electrónica y comercio electrónico.

¿Considera la seguridad en el Comercio Electrónico un elemento de diferenciación competitiva en el mercado financiero?

Solo algunas entidades dan importancia a ese tema. Además en los últimos tiempos, las entidades financieras son refractarias a aceptar más tiendas virtuales, por ciertos errores de gestión de clasificación del pasado.

¿Existe alguna interfase que permite aprovechar los medios de identificación del cliente tanto para la Banca Electrónica como para el Comercio Electrónico?

Si. Uno de ellos ya lo he mencionado, pero no es el único. En particular existen grandes expectativas sobre la próxima universalidad del DNI electrónico.

¿Cuál es el porcentaje de tiendas virtuales que están utilizando 3D Secure?

Prácticamente el 100%. Todas aquellas que usan la pasarela de pago de su entidad financiera.

Unas pocas usan SSL para captar datos de tarjeta y despues utilizan un TPV convencional para volver a introducir los datos de tarjeta con la modalidad «reentry», lo que requiere un permiso especial de la entidad adquirente.

¿Cuál es la situación de las grandes tiendas (virtuales) como las compañías aéreas, agencias de turismo y de pasajes, grandes tiendas o cadenas?

Usan accesos especiales derivado de la norma ISO 8583, que en España tienen denominaciones como PUC, PUCE, o PRICE y antiguamente «Protocolo Hipermercado». Recientemente han tenido que incluir las modificaciones derivadas de la introducción de EMV que será obligatoria desde inicios de 2008, por la entrada en vigor de los compromisos SEPA.

¿Cómo entiende ha sido la evolución en la aceptación de esta tecnología?

Las propias entidades han evolucionado en su uso como tiendas físicas a tiendas virtuales, unificando la plataforma para ambos usos.

¿Cuál es el porcentaje de inscripción en el 3D Secure por parte de los portadores de tarjetas?

Prácticamente el 100% de las entidades dan la opción, si bien, por problemas de adopción, permiten llevar a cabo algunas transacciones iniciales de forma no autenticada. Los titulares esporádicos no suelen enrolarse.

Por otro lado Mobipay permite llevar a cabo transacciones 3D de forma más sencilla y más segura y se incluye como opción en las pasarelas de adquirente.

¿Cuál es el proceso de registración de éstos (personalmente en las oficinas, al momento de adqquirir, están obligados o es una opción por su conveniencia?

El proceso es on-line, vinculandolo a algún dato común que el usuario debe conocer, por ejemplo datos de acceso a la banca on-line. EN las primeras transacciones se avisa al usuario del proceso completo de enrolamiento pero se le suele dar la opción de autorizar la transacción sin autenticación.

¿Los clientes han aceptado positivamente la iniciativa al ver mejorada su seguridad o se molestan por la registración y posterior necesidad de recordad su clave?

Creo que ambas situaciones se dan, pero el modelo de aceptar las primeras operaciones sin autenticación minimiza el impacto de las molestias y produce una beneficiosa sensación de seguridad al usuario. Creo que la relación debe estar en torno al 80-20.

¿El «liability shift» (revierte la carga del fraude de la tienda o su banco al banco emisor de la tarjeta) afectará las medidas de seguridad en el Comercio Electrónico?

Si, aunque las entidades no parecen aplicar conscientemente esta situación.

¿Los proyectos SEPA y EMV afectarán también la seguridad en el Comercio Electrónico?

Si. Se intenta llegar a modelos unificados. Ya he comentado el tema de las calculadoras OTP:

¿En un futuro las tarjetas EMV serán también utilizadas para el Comercio Electrónico? ¿Colaborará o dificultará la ejecución de operaciones electrónicas?

En mi opinión sí, si se generalizan las calculadoras OTP. Sin embargo, es más probable que en España se adopte Mobipay como un mecanismo mejor y más barato para la autenticación.

¿Los clientes estarían a cargo de la compra de la unidad lectora de EMV?

El despliegue del DNI electrónico tendrá como efecto la inclusión generalizada de lectores de tarjeta chip por los particulares. Los fabricantes e importadores han anunciado que desde 2008 los ordenadores llevaran teclados con lector de tarjeta chip compatible PC/SC o bien otras variantes de lector. Este sistema podría ser utilizado para aceptar tarjetas EMV.

PCI DSS empieza a interesar

1 respuesta

Tanto la revista «Red Seguridad» como «eSecurity» se hacen eco este mes de este estándard de seguridad.

Es una buena noticia porque trae al primer plano de la actualidad este asunto en el que fuimos pioneros en Albalia Interactiva (ojo, presentación en PDF, 5M).

Recordad que fue en este blog en el que leisteis las primeras informaciones en español sobre PCI DSS (Payment Card Industry Data Security Standard) en este post, o en este otro.

Además ya disponemos de sistemas que pemiten salvaguardar, los logs y las evidencias, de la forma exigida en el estándard, por lo que la adecuación es más sencilla y verificable.

Bajo cumplimiento de los requisitos PCI DSS

1 respuesta

Según una encuesta de The Logic Group, solo un 3% de las entidades consultadas cumplen los requisitos de PDI DSS (Payment Card Industry Data Security Standard) a pesar de la inminente finalizalización del período de adaptación en junio de 2007.

A survey conducted by secure transaction specialist, The Logic Group, revealed that only 3% of respondents are fully PCI DSS compliant despite a looming 30th June 2007 deadline. The survey included responses from over one hundred of the largest high street retailers, financial services institutions and leading businesses who accept card payments and compares the results with the previous year’s figures. Merchants that are not fully compliant with this new worldwide data security standard risk losing cardholder data leading to substantial brand damage, loss of customers, fines or even being barred from accepting card payments.

Although very few merchants are compliant, significant progress has been made over the past twelve months. Awareness levels have more than doubled to 85% and 52% have now assessed the impact PCI DSS will have on their business, up from 27% last year.

The survey highlighted that 71% of those surveyed expect to be compliant within 18 months. With the next 6 months primarily focused on assessment and project planning with the following 12 months focused on remediation and compliance. A significant minority, 16%, have no plans to implement the standard in the near future.

Businesses have recognised the time, money and effort required to achieve compliance with a startling 78% believing that PCI DSS compliance is as or more demanding than the challenges they faced when implementing Chip & PIN.

“The merchant community has come a long way over the past twelve months and begun to put the necessary steps in place to achieve PCI compliance,” said Mark McMurtrie, Marketing Director at the Logic Group. “However a lot more needs to be done as only a few businesses are compliant today, so security breaches and criminal attacks remain a very real possibility. What is particularly encouraging is that the majority of merchants now know what needs to be done. The critical next step for most businesses is to get board approval for the necessary work to be sanctioned. It is clear from the results that there is a need for improved communication and support from the industry to accelerate take up and compliance.”

Top line survey findings include:

  • 85% of respondents are aware of the standard, a significant improvement given only 40% knew about PCI when the last Logic Group survey was conducted 12 months ago
  • 52% of surveyed companies have already assessed the impact PCI compliance will have on their businesses
  • 60% of companies surveyed are currently at the PCI assessment phase
  • 20% of respondents haven’t even started the journey to achieving compliance
  • 68 % of merchants rated the support they have received as being insufficient.
  • 71% of respondents have committed to achieving PCI compliance over the next 18 months.

“Although the progress is encouraging, the clock is ticking,” added Mark McMurtrie. “Every organisation that handles and stores cardholder data, including high street retailers, online e-tailers, businesses with telephone contact centres, payment processors, right through to banks and the card schemes themselves, must be PCI compliant or face the consequences. With our unrivalled experience in transaction processing and security consultancy, we can help businesses achieve compliance whilst minimising the impact and cost.

Adopción de PCI Security Standard en España

5 respuestas

Tras hacer un pequeño estudio de mercado entre entidades financieras españolas en relación con la adopción del PCI Security Standard, parece que finalmente se ha empezado a tomar en serio esta normativa de las marcas VISA y Master Card y comienzan a planificarse las auditorías de entidades financieras y de comercios que operan por internet.

En la documentación oficial todavía no constan las entidades españolas que se dedican a las diferentes modalidades de auditoría, como la propia Albalia Interactiva, pero ya empiezan a llevarse a cabo las homologaciones.

Los servicios de seguridad orientados al cumplimiento de la normativa PCI se dirigen a compañías que aceptan o transmiten información relacionada con tarjetas de crédito. Albalia desarrolla asesoramiento de seguridad basada en la norma de seguridad de datos global PCI (Payment Card Industry) .

La norma PCI es un juego integrado de requisitos de seguridad de la información desarrollado por Visa y MasterCard en 2004 para proteger la información de los titulares en todas las infraestructuras que puedan contener o transmitir ese tipo de datos. Existen compañías homologadas para prestar asesoramiento según esta norma en diferentes lugares del mundo.

En la actualidad la norma se ha adoptado por las grandes marcas de tarjetas: American Express, Discover Financial Services, JCB International Credit Card, MasterCard Worldwide y Visa International por lo que una vez superada una auditoría, esta es aceptada por todas las marcas. Se ha creado el Consejo de normas de seguridad de la industria de medios de pago (PCI Security Standards Council) como ente que mantiene la norma y su evolución .
Hay tres tipos de servicios disponibles para facilitar el cumplimiento de esta norma y la superación del proceso de auditoría: Revisión de cumplimiento de la norma PCI, Verificación de cumplimiento de la norma PCI y Comprobación automatizada de la seguridad PCI.

La homologación de la consultora como Qualified Security Assessor (QSA) es un requisito para llevar a cabo este tipo de servicios.
Albalia Interactiva está en el proceso de homologación como QSA, para lo que cuenta con consultores de seguridad preparados para asistir a las entidades en los procesos anuales de verificación yen los trimestrales de comprobación automatizada impuestos por VISA y otras marcas de tarjetas.

Además de bancos y cajas, las compañías que aceptan pagos con tarjeta desde tiendas online a operadores móviles , y compañías intermediarias deben cumplir la noma definida por la Industria de Tarjetas de Pago (Payment Card Industry).