PCI-DSS: como certificar usando el poder de la nube

El 24 de mayo de 2022, Pomelo recibió una grata noticia: el PCI Council confirmó oficialmente que cumple con los requisitos necesarios y suficientes requeridos por el Nivel 1 de PCI-DSS.

Por ser un gran reconocimiento de todos nuestros esfuerzos para garantizar la seguridad de los datos, lo elegimos como uno de los temas de Talks by Pomelo, un evento diseñado y ejecutado por Pomelo y para Pomelers sobre tecnología, producto e innovación! 🙌 Los insights son tan valiosos que, por supuesto, no dejaríamos de compartirlos con ustedes.

La presentación fue conducida por, Roberto Rubiano, Cybersecurity Engineer Tech Lead de nuestro team, que respondió a las principales preguntas de Pomelers.

Abajo, encuentras toooodo sobre el PCI-DSS en un artículo escrito por Roberto y Juanjo Behrend, Director de Ingeniería en Pomelo. Al final, también en video con la charla completa que dio Roberto en el evento. Vamos!

¿Que es PCI-DSS?

PCI es el nombre del estándar de (Ciber)Seguridad en Medios de Pago como una propuesta colectiva de las principales marcas de tarjetas, que hasta ese entonces venían trabajando en simultáneo desde varias iniciativas en pos de proteger los datos de sus respectivos productos.

Pero en un momento se dieron cuenta de que en la unión está la fuerza, y fue así como en el año 2006 crearon el PCI Council, consolidando sus esfuerzos independientes en una sola linea de requerimientos, conformando asi la primera versión de los lineamientos PCI (Payment Card Industry) DSS (Data Security Standard).

El resto es historia: hoy PCI-DSS va por su cuarta versión, ha sido sido adoptado por miles de entidades en ciento de países, y se ha convertido en una referencia ineludible para todo aquel que quiera diseñar un entorno donde manejar datos de carácter crítico o que requieren un tratamiento confidencial.

El estándar es de alcance global, y es exigido por las marcas para toda aquella entidad que quiera operar, manipular o procesar datos de medios de pago alrededor del mundo. Su cumplimiento define niveles acorde al volumen de operación, siendo el nivel 1 el de mayor exigencia y costo, ya que habilita a que una entidad pueda realizar más de 6 millones de operaciones anuales.

¿Cómo lo logró Pomelo? Introduciendo objetivos, áreas y puntos de control

En la práctica, para estructurar su aplicacion y despliegue, PCI-DSS se divide en seis áreas temáticas, denominadas “Objetivos de Control”, que a su vez establecen doce “Áreas de Requerimientos”, que luego se presentan en más de 250 “Puntos de Control”.

De esta forma, el cumplimiento efectivo de una organización se puede medir a partir del cumplimiento de estos puntos, agrupados a partir de sus respectivas áreas de requerimientos y objetivos generales de control.

Estos son los seis objetivos de control (en su idioma original):

• Secure Network and Systems;
• Cardholder Data Protection;
• Vulnerability Management Program;
• Access Control Measures;
• Network Monitoring and Testing;
• Information Security Policy.

A pesar de haber sido concebidos hace menos de 20 años, muchos de estos puntos refieren a soluciones que hoy en día fueron reemplazadas por nuevas tecnologías y dinámicas, que o bien no existían en ese entonces, o cuyo uso estaba acotado a otros nichos de negocio, no tenían la madurez o robustez suficiente, o simplemente eran muy costosas en relación a su beneficio.

Es el caso de las soluciones del tipo cloud, un pilar fundamental en la concepción de las soluciones que sustentan a los productos de Pomelo.

A primera vista, esta situación podría parecer un impedimento para poder desarrollar una solución PCI-DSS en un ambiente cloud, siguiendo los lineamientos exigidos por el riguroso estándar.

Sin embargo, el exitoso caso de Pomelo demuestra que sí, ES viable desplegar una solución en full compliance con PCI-DSS, que incluye una arquitectura de red segura, con sus componentes críticos protegidos y aislados, sometidos a un plan de análisis de vulnerabilidades de forma regular, aplicando rígidos controles de acceso y con monitoreo (en tiempo real!). Todo esto encuadrado dentro de un marco normativo acorde, aplicando los mismos controles que a una solución “tradicional” (sic).

El hecho de poder haber definido desde el momento inicial el alcance y los respectivos ambientes destinados a alojar la información afectada por la certificación, fue un punto clave y determinante, que torció la balanza y permitió lograr el objetivo con dinamismo y celeridad, ya que desde el primer momento se estableció un marco acotado para la operatoria y despliegue de todos los componentes afectados por los controles y sus requerimientos asociados.

Eso hizo que los tiempos de implementación fueran optimizados al máximo, al poder aprovechar las múltiples ventajas de escalabilidad que -por su propia naturaleza- ofrecen las soluciones cloud, lo cual nos permitió lograr la certificación en un plazo récord.

Si bien en la charla analizamos en detalle los puntos clave de cada objetivo de control, destacamos algunos conceptos relevantes que aportaron a nuestra implementación:

• Card Data Environment (CDE): este término define al ambiente destinado exclusivamente a resguardar la información crítica asociada a la certificación. Está protegido y delimitado por firewalls dedicados, toda la actividad es monitoreada en tiempo real y cada evento es registrado en una herramienta dedicada. Los usuarios que pueden acceder están limitados y son periódicamente controlados.
• Primary Account Number (PAN): son los registros que identifican a los datos de medios de pago, la información de mayor criticidad dentro de un entorno PCI-DSS.  Todas las herramientas y controles utilizados para monitoreo, resguardo, tratamiento, etc. dentro del CDE utilizan una heurística que identifica la estructura de los PANs y aplica las medidas de protección necesarias para mantenerlos a resguardo dentro de todo el ciclo de vida.
• Hardware Security Module (HSM): estos dispositivos utilizan criptografía de alta complejidad para manipular y proteger los datos críticos dentro del CDE (como el PAN e información derivada), asegurando que la misma solo pueda ser interpretada por aquellos entornos que cuenten con las claves y métodos requeridos por la solución.
• Security Information and Event Management (SIEM): esta tecnología permite consolidar e interrelacionar todos los eventos de relevancia producidos en el ambiente CDE, identificando y alertando ante cualquier actividad irregular que atente contra la operatoria normal.
• Endpoint Detection and Response (EDR): estas soluciones son consideradas como las herramientas antimalware de última generación, protegiendo en la “frontera final” a las estaciones de trabajo, servidores o terminales remotas a partir del uso de firmas y controles en tiempo real.
• Privileged Access Management (PAM): las estrictas políticas de control de acceso y la definición de cuentas privilegiadas formales posibilitan medir y acotar los controles solo en aquellos usuarios que realmente tienen la necesidad de manipular los datos del CDE, ya sea por motivos operativos o de negocio.
• Security Operation Center (SOC): Pomelo cuenta con su propio equipo de Operaciones en Ciberseguridad, el cual administra y gestiona las herramientas descritas en los párrafos anteriores.

Pensando cómo seguimos

Lograr el cumplimiento es el primer paso: el mayor desafío es poder mantenerlo en el tiempo, acompañando a los requisitos del negocio y a la vez adaptándose a los cambios del mismo estándar: en marzo se lanzó la última versión, que incluye nuevos requerimientos, levantando aún más la vara.

Si bien el cumplimiento se debe demostrar anualmente, los equipos de trabajo han demostrado tener un mindset de “cumplimiento continuo”, ya sea revisando los nuevos despliegues, contrastando el estándar en cada desarrollo significativo o adecuando lo necesario para no caer en una situación fuera de cumplimiento. Y todo esto a Velocidad Pomelo!