¿Qué es la PCI DSS?

La norma de seguridad de datos para el sector de las tarjetas de pago (PCI DSS) es una norma de seguridad de la información desarrollada para mejorar la seguridad de los datos de los titulares de tarjetas de crédito en las organizaciones que almacenan, procesan o transmiten este tipo de información. Su función principal consiste en reducir la vulnerabilidad de la información de los titulares de tarjetas y evitar el fraude aumentando los controles en aquellos lugares en los que los datos se almacenan, procesan o transmiten. Las organizaciones que mantienen datos de titulares de tarjetas bancarias incluyen a comercios minoristas, sucursales de comercio minorista de cualquier empresa y sector, servicios de pago electrónico, bancos que emiten tarjetas de crédito y proveedores de servicios que ofrecen servicios electrónicos en la nube para el procesamiento de pagos.

Para cumplir la PCI DSS, hay que reunir una serie de requisitos mínimos. En la norma PCI DSS 3.0, existen alrededor de 300 requisitos agrupados en 12 categorías que se representan en la tabla siguiente:

Todas las organizaciones que participan en el almacenamiento, procesamiento o transmisión de datos de titulares de tarjetas bancarias tienen la obligación de cumplir la norma PCI DSS. Para ello, las organizaciones deben aprobar una evaluación que audite todas las partes de la red que interactúen con el entorno de titulares de tarjetas. En algunas áreas, el PCI Security Standards Council (SSC) establece los tipos de tecnologías y productos que hay que implementar y cómo hacerlo. En otras, no se prescribe ningún modelo o estructura en concreto para la implementación de un sistema que sea conforme con la norma.

Segmentación de la red

Entre los métodos de desarrollo e implementación de un sistema de seguridad de la información conforme con la PCI, la segmentación de la red ha emergido como una práctica recomendada por su efecto significativo en la reducción del coste y la complejidad del cumplimiento de la PCI. La segmentación de la red aísla los datos de los titulares de tarjetas bancarias en servidores o áreas de la red concretos para reducir la fracción de la red sujeta al cumplimiento de la PCI DSS. Como resultado, se produce una reducción considerable de los siguientes elementos:

• Coste de evaluación de la PCI DSS
• Coste de implementación y mantenimiento del cumplimiento normativo
• Esfuerzo necesario para desarrollar políticas de seguridad y aplicarlas
• Riesgo de la organización, como resultado de una menor exposición de los datos de los titulares de tarjetas y de la facilidad para controlar el segmento
• Costes forenses en el caso de que se produzca un incidente de seguridad debido a la facilidad para localizar e investigar el tráfico

La reducción en el coste y la complejidad que conlleva segmentar la red refuerza la seguridad de la red a una fracción del coste potencial. Si la red no se segmenta, no solo está en riesgo toda la red, sino que además puede someterse a la auditoría de PCI. El siguiente diagrama yuxtapone una red segmentada con otra sin segmentar:

A la izquierda, hay una red plana en la que toda la red está sujeta a la auditoría de PCI. A la derecha, los datos de los titulares de tarjetas bancarias están aislados en una zona de seguridad a la que solo pueden acceder los usuarios autorizados. La plataforma de seguridad de la red empresarial de Palo Alto Networks permite a las organizaciones crear zonas de seguridad que contengan toda la información y el tráfico pertinentes, y ofrece a los administradores la opción de controlar, a un nivel muy detallado, las políticas de seguridad que deben aplicarse a las aplicaciones, los usuarios y el contenido. El único tráfico que tiene permiso para atravesar cada zona de seguridad es el que se autoriza de manera explícita.