Saltar al contenido

Estándar PCI DSS y el comercio online.

Compartir en:

Los estándares y normativas de seguridad son cada vez más comunes en el comercio electrónico. La exposición de datos sensibles a internet y como protegerlos es una medida básica para cualquier negocio que desee comerciar en internet.

PCI DSS es un estándar a nivel mundial que fue desarrollado por las grandes compañías de tarjetas de crédito (Visa, MasterCard, American Express, Discover y JCB). Estas crearon el PCI Security Standards Council que es el encargado de la formulación, la mejora, el almacenamiento, la difusión y la aplicación permanentes de las normas de seguridad para la protección de datos de cuentas.

La normativa aplica a todas las entidades que participan en el procesamiento de las tarjetas de pago, entre las que se incluyen comerciantes, procesadores, adquirentes, entidades emisoras y proveedores de servicios. Además, esta se aplica a todas las entidades que almacenan, procesan o transmiten datos del titular de la tarjeta y/o datos confidenciales de autenticación.

Consta de una serie de validaciones que las empresas deben cumplir para poder certificarse, y cada una de estas validaciones hace referencia un requisito de una lista de 12 organizados en 6 secciones relacionadas lógicamente.

Las secciones en las que PCI DSS actúa son las siguientes:

  • Desarrollar y mantener una red segura.
  • Proteger los datos de los propietarios de tarjetas.
  • Mantener un Programa de Gestión de Vulnerabilidades.
  • Implementar Medidas sólidas de control de acceso.
  • Monitorizar y probar regularmente las redes.
  • Mantener una Política de Seguridad de la Información.

La norma establece unos requisitos a partir de estos grupos que a su vez se traducen en controles que deben cumplirse bajo un estricto nivel de cumplimiento.

Los 12 requisitos de PCIDSS

Según la revisión 3.2.1 de Mayo de 2018 (enlace) los requisitos son los siguientes:

  1. Instale y mantenga una configuración de firewall para proteger los datos del titular de la tarjeta
  2. No usar los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
  3. ­Proteger los datos almacenados del titular de la tarjeta.
  4. Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas.
  5. Proteger todos los sistemas contra malware y actualizar los programas o software antivirus regularmente.
  6. Desarrollar y mantener sistemas y aplicaciones seguros.
  7. Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa.
  8. Identificar y autenticar el acceso a los componentes del sistema.
  9. Restringir el acceso físico a los datos del titular de la tarjeta.
  10. Rastree y supervise todos los accesos a los recursos de red y a los datos del titular de la tarjeta
  11. Pruebe con regularidad los sistemas y procesos de seguridad.
  12. Mantenga una política que aborde la seguridad de la información para todo el personal.

Requisito 3

En mi opinión, el requisito 3 es uno de los más importantes, vamos a verlo un poco más en detalle.

El requisito 3 “Proteger los datos almacenados del titular de la tarjeta” hace referencia a la utilización de diferentes métodos para conseguir minimizar las consecuencias de una violación de privacidad de estos. Si un intruso viola otros controles de seguridad y finamente consigue acceder a los datos brutos, estos deberán estar ofuscados, y deben ser los mínimos posibles para que la brecha sea mínima.

En esta parte de PCI DSS se hace patente la necesidad de utilizar técnicas para que sea complicado construir los valores reales de una tarjeta o los datos de su titular.

La encriptación es una medida básica y fácilmente implementable, en general debemos encriptar con técnicas de clave simétrica los datos que no deseamos se vean comprometidos. De esta manera, si alguien accede a un almacén de datos, será necesario que disponga de una clave de descifrado. Si no se dispone de esta, los datos no serán legibles. Es evidente que la gestión de las claves es primordial para que la encriptación cumpla su cometido.

Otra de las indicaciones que considero más importante en este control es la limitación en el almacenaje de datos. Evidentemente, si no almacenamos datos críticos, no debemos gestionarlos, el hecho de minimizar los datos que almacenamos (generalmente para comprobaciones, procesos de negocio, etc.) es una de las mejores herramientas que podemos utilizar.

Teniendo ya los datos encriptados y los datos mínimos, además, una vez la empresa haya procesado los datos, estos deben ser eliminados o minimizados. Es decir, si necesitamos unos datos para hacer un cobro, una vez hecho este, estos datos deben ser suprimidos o minimizados para evitar fugas.

Estos tres aspectos creo que son los más importantes en este requisito, obviamente la definición de procesos, gestión de claves y protocolos también es importante.

Evitar el PCI DSS en el comercio ONLINE

El hecho de tener un comercio electrónico siempre va a exigir cierto cuidado en la seguridad, sin embargo, existen mecanismos para derivar la responsabilidad del cumplimiento de la norma que reduce considerablemente las dificultades de un pequeño negocio para la venta online.

La propia definición de la PCIDSS hace referencia al cumplimiento en relación con el almacenan, procesamiento o transmisión de datos del titular de la tarjeta. La manera que los comercios evitan los controles PCIDSS consiste en redirigir los pagos de sus comercios a pasarelas de pago externas que SI cumplen con PCIDSS.

Al desconectar los pagos y derivar la información a terceros, el comercio ni almacena, ni procesa ni trata con los datos bancarios, es la pasarela quien lo hace. Esto provoca que el comercio quede exento de la norma.

El ejemplo por excelencia en los últimos tiempos es PayPal, esta es una pasarela de pago muy popular entre comerciantes, compradores, particulares y vendedores. Permite utilizar su plataforma para gestionar los pagos de un negocio sin necesidad de almacenar ningún dato de las tarjetas de los clientes.

PayPal funciona con diferentes métodos de pago, puede ser a través de una tarjeta de crédito o débito, el saldo de la propia cuenta de PayPal o con una cuenta bancaria, lo cual lo hace muy versátil. Implementar esta pasarela exime al comercio de PCIDSS.

Otra gran pasarela muy utilizada en el comercio (online y local) es Redsys. Es una pasarela que agrupa varias entidades bancarias y esta enfocada en el pago con tarjetas de crédito. Esta pasarela es bastante popular debido a que tiene multitud de implementaciones para los CMS como Prestashop o WordPress.

En el siguiente esquema se muestra una simplificación del proceso de validación mediante pasarela de pago:

Como vemos, las tarjetas y datos bancarios quedan fuera del ámbito del comercio, que solo comunica las transacciones y recibe la autorización.

EMV y PCI DSS

EMV (Europay – Mastercard – Visa) es un estándar internacional de interoperabilidad entre las tarjetas de crédito y los lectores de estas con soporte para circuitos integrados (Chips). En otras palabras, define el diálogo entre las tarjetas con chips y los lectores de tarjetas.

EMV surge por la necesidad de desligar las comprobaciones de las tarjetas de crédito por parte de una persona física (mediante una identidad física como el DNI). Con la proliferación de sistemas autónomos, donde no existen personas detrás de la transacción, es importante tener una manera de validar la tarjeta más allá de la banda magnética, fácilmente falsificable.

Para dar solución a la validación EMV utiliza criptografía para realizar validaciones de varias maneras, esto aporta a las transacciones seguridad y validación. Los más comunes son los siguientes:

  • Autenticación de la tarjeta: Válida al emisor de la tarjeta bancaria (es capaz de determinar que una determinada entidad es la emisora de la tarjeta). Utiliza criptografía de clave pública:
    • SDA (static data authentication): La tarjeta guarda información del emisor (certificado digital y clave pública), el terminal valida esta información y da por hecho que el emisor de la tarjeta es válido. Este método es inseguro debido a que la información es siempre la misma. Esta puede interceptarse y añadirse a tarjetas fraudulentas.
    • DDA (dynamic data authentication): En este caso, la validación se realiza mediante un par de claves (pública y privada) y un certificado del emisor. La tarjeta recibe datos del lector y los firma digitalmente con su clave privada. El lector valida el certificado del emisor (como en SDA), mediante la clave pública de este validara también la clave pública de la tarjeta y finamente si todo es válido, utilizará la clave pública válida de la tarjeta para comprobar los datos devueltos por la tarjeta. Este mecanismo es mucho más seguro que el primero, ya que los datos firmados cambian en cada transacción.
  • Tarjeta + PIN: En este caso el usuario debe introducir un pin que coincida con el almacenado por la tarjeta. EMV asegura la transacción cifrando la comunicación, la tarjeta emite una serie de bytes aleatorios y su clave pública, el terminal usa estos bytes junto con la clave que ha introducido el usuario y los cifra con la clave pública. Posteriormente, la tarjeta descifra los datos con su clave privada, revisa que los bytes son correctos y que el pin coincide.
  • Comunicación Tarjeta – emisor: Cuando el terminal de lectura confía en el emisor (este ha sido validado) la transacción puede realizarse. Esta se actúa mediante una encriptación de clave simétrica entre la tarjeta y el banco. La clave de la tarjeta solo es conocida por esta y la entidad emisora.  

Con la proliferación del comercio online, los terminales han pasado ya el nivel de lo físico, ahora son virtuales. Aquí es donde entra en juego PCI DSS. El estándar en este aspecto cuida que las operaciones con los datos bancarios se lleven a cabo bajo estrictos controles y métricas controladas para evitar robos, fraude o delincuencia.

Para las transacciones con las terminales virtuales y las pasarelas, suelen utilizarse 2 arquitecturas de comunicación que utilizan TLS (transportlayer security). La arquitectura lineal (que hemos descrito por encima antes) y la arquitectura triangular.

Conclusión

Como en todo los negocios y mercados, la tecnología irrumpe sin previo aviso poniendo patas arriba cualquier protocolo o medida pensada para actuar de la manera tradicional. En este caso, el comercio electrónico es una realidad aplastante que ha reconvertido las ventas de cualquier sector.

Este cambio de paradigma desde el cliente y la banda magnética con la comprobación de DNI hasta los complejos modelos de comprobación criptográfica de las pasarelas deja entrever la necesidad de aplicar estándares para algo fundamental en el negocio bancario, la privacidad y seguridad de los datos.

PCI DSS surge de esta necesidad, dar solución a los problemas comunes y velar por el cumplimiento de unos mismos que garanticen las transacciones y los datos de los consumidores es primordial tanto para los clientes como para los bancos (el fraude puede ser un problema muy grave para un Merchant de transacciones).

Las carteras virtuales como PayPal, Google Wallet o Caixa Wallet son un ejemplo de comodidad para los usuarios. Estas aglutinan los medios de pagos del usuario en un único sito y hacen de intermediarios en los pagos electrónico, simplificado las transacciones y proporcionando seguridad en estas. Aplicar normas como PCI DSS de manera estricta en sistemas como estos es algo que aporta una seguridad extra. Además, obliga a estas grandes plataformas a estar certificados en un estándar de cumplimiento en seguridad elevado, lo cual al final es bueno para los usuarios y los comercios, a los primeros les da confianza y a los últimos les simplifica enormemente la operativa.


Juan Ibero

Inmerso en la Evolución Tecnológica. Ingeniero Informático especializado en la gestión segura de entornos TI e industriales, con un profundo énfasis en seguridad, arquitectura y programación. Siempre aprendiendo, siempre explorando.

Compartir en:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *