Dentro de PCI DSS la definición del alcance resulta un requisito fundamental a la hora de establecer los sistemas de información que van a ser afectados por el cumplimiento de los requisitos de PCI DSS.
Por otro lado la segmentación de red resulta un paso muy útil para reducir este alcance y así aminorar en gran medida la implantación de los requerimientos de seguridad y abaratar de forma importante el coste de implantación de los mismos. Ahora bien la segmentación no es una cuestión baladí teniendo en cuenta que la mayoría de redes que predominan entre los afectos al cumplimiento de este estándar han sido creadas bajo necesidades de negocio y no para el cumplimiento de PCI DSS, y consiguientemente el hacer una segmentación de las redes supone hacer una reingeniería de procesos informáticos que no es para nada sencilla.
Dentro de este ámbito de la definición del alcance y la segmentación de redes, no son pocas las cuestiones que se suscitan y aquí quiero exponer dos de ellas:
Primera: Imaginemos un sistema dentro de un proceso de negocio afectado por PCI DSS (hay PANes involucrados) que en sus funcionalidades sólo es llamado para validar ciertas transacciones del proceso donde los datos de tarjeta no intervienen (este sistema no transmite, procesa ni almacena datos de tarjeta) pero sin cuya existencia la transacción no podría acometerse. No pasan datos de tarjeta, pero si ese sistema es atacado o su disponibilidad cae podría caer todo el proceso de negocio de tarjetas. Si este sistema está en un segmento de red aparte de los sistemas que almacenan procesan, transmiten datos de tarjeta, estaría fuera del alcance del cumplimiento de PCI DSS?Segunda: mirando sobre el alcance de PCI DSS, existen algunos sistemas como por ej. El DNS por los que no pasan, transmiten o se almacenan datos de tarjeta pero que sí están implicados en el cumplimiento de los requisitos de PCI DSS respecto de los sistemas que si están afectados por datos de tarjeta. Revisando PCI DSS 2.0 se dice lo siguiente “Scope of Assessment for Compliance with PCI DSS Requirements. The PCI DSS security requirements apply to all system components. In the context of PCI DSS, “system components” are defined as any network component, server, or application that is included in or connected to the cardholder data environment. “System components” also include any virtualization components such as virtual machines, virtual switches/routers, virtual appliances, virtual applications/desktops, and hypervisors. The cardholder data environment is comprised of people, processes and technology that store, process or transmit cardholder data or sensitive authentication data. Network components include but are not limited to firewalls, switches, routers, wireless access points, network appliances, and other security appliances. Server types include, but are not limited to the following: web, application, database, authentication, mail, proxy, network time protocol (NTP), and domain name server (DNS).”
Tal como veis otros sistemas que pudieran estar implicados son sistemas autenticación (DNS), servidores NTP… etc. Cuando se define el alcance de PCI DSS sobre el que luego se va a hacer una auditoria PCI DSS estos sistemas no se ven dentro de los “canales” por los que se transmiten, procesan o almacenan datos de tarjetas, ahora bien, si es necesario tenerlos en cuenta en cuanto a su funcionalidad y de cara a cumplir los requisitos de PCI DSS Ej. DNS para ver la autenticación (R. 8 y 9), servidores de back up para mirar back up (R.9), CPD 2 para ver si hay un DRP (R.12), servidores NTP y servidores de logs (R.10)… pero la pregunta es: ¿estos sistemas deben estar identificados como tal dentro del apartado de alcance del informe? ¿El meterlos dentro del alcance supone que estos servidores deban cumplir todos los requisitos de PCI DSS como el estar correctamente bastionados? Y lo más duro… ¿los segmentos de red donde están estos servidores deben ser escaneados y realizarse test de intrusión?
Mi opinión es la siguiente:
Entiendo que los sistemas que no trasmiten, procesan o almacenan datos de tarjeta, como propongo en el caso primero no deberían estar dentro del alcance de PCI DSS.
En cambio, en el segundo caso estos sistemas no estarían dentro de los canales de datos de tarjeta pero si dentro del alcance de PCI DSS únicamente en cuanto se vean afectados como sistemas auxiliares para el cumplimiento de ciertos requisitos PCI DSS y no como si fueran componentes de sistemas tal como define PCIDSS.
Por ejemplo un sistema de monitorización no debería cumplir todos los requisitos de PCI DSS pero si debería garantizar en su definición los requisitos del requerimiento 10 de PCI DSS: estar ubicado en un segmento de red interno, correctamente configurada la hora mediante NTP, garantizar integridad y disponibilidad de logs,…
Raúl Rodríguez Celaya
Departamento de Consultoría
Fuente: S21Sec
