En esta guía nos enfocaremos en compañías con infraestructura IBM i (AS400 – iSeries) y que necesitan cumplir los requerimientos de los estándares PCI DSS. Se presentará una introducción general al tema de PCI y se discutirán estrategias y tecnologías para cumplir los requerimientos en entornos IBM i.
Si su organización maneja información de tarjetas de crédito o débito, ya sea para procesar pagos, realizar transacciones o almacenar datos de clientes, debe cumplir con el estándar de seguridad de datos para la industria de tarjetas de pago (PCI DSS). Este estándar es un conjunto de requisitos que se aplican a nivel mundial y que buscan proteger los datos de los titulares de las tarjetas y reducir el riesgo de fraude, robo de identidad y pérdida financiera.
Estos estándares tienen la finalidad de proteger al consumidor de fraudes que puedan ocurrir por robo de datos personales o mal uso de estos por parte de personal de las mismas compañías. Y han sido establecidos por las 5 empresas globales más grandes en la industria de pagos con plásticos (American Express, Discover Financial Services, JCB International, MasterCard Worldwide, y Visa Inc)
Cumplir con PCI DSS no es una tarea sencilla, ya que implica implementar y mantener una serie de medidas de seguridad tanto a nivel técnico como organizacional. Además, el estándar se actualiza periódicamente para adaptarse a las nuevas amenazas y tecnologías.
Se recomienda ampliamente suscribirse y estar al tanto de las actualizaciones publicadas por la organización del Consejo de Estándares de Seguridad.
IBM i es una plataforma que ofrece un alto nivel de seguridad y confiabilidad para las aplicaciones empresariales, incluyendo las que manejan datos sensibles de pago. Sin embargo, tener una tecnología segura no es suficiente para cumplir con PCI DSS, sino que también se requiere seguir buenas prácticas que aseguren el uso adecuado y la protección de los datos.
Si tu empresa se está preparando para una auditoria PCI DSS, es posible que te sientas un poco perdido. Esta guía está diseñada para ofrecerte consejos útiles sobre cómo proteger la información de las tarjetas de pago en los sistemas IBM i de acuerdo a las normas PCI DSS. Sin embargo, ten en cuenta que no cubre todos los aspectos de la regulación y no se debe utilizar como un consejo legal. En caso de tener dudas específicas sobre cómo podría impactar a tu organización, te recomendamos consultar con un asesor legal.
Probablemente ya lo hayas deducido de la sección anterior, pero aclararemos para eludir cualquier duda. Los estándares PCI DSS, o Estándares de Seguridad de Datos para la Industria de Tarjetas de Pago, son absolutamente vitales y de obligatorio cumplimiento para todas las empresas que manejen cualquier transacción o almacenamiento de datos de tarjetas de crédito.
Desde puestos de venta físicos hasta comercios electrónicos, cualquier entidad que procese, almacene o transmita información de tarjetas de crédito debe adherirse a estos estándares rigurosos para garantizar la protección de los datos del titular de la tarjeta.
Existen diferentes niveles de comercios, y dependiendo el nivel del comercio, la rigurosidad y exigencia de cumplimiento de estos estándares por medio de auditorías internas o por terceros. Estos son los niveles y exigencias de auditoría PCI:
Es buena idea que hables con tu banco encargado de procesar los pagos con tarjeta, para entender bien tus obligaciones en cuanto a reportes. Para que te resulte más fácil, el Consejo de Normas de Seguridad de PCI ofrece una certificación para Asesores de Seguridad Internos. Esta certificación proporcionará a tu equipo la formación necesaria para realizar una auditoría PCI de forma efectiva.
Cualquier comercio, independientemente de su tamaño transaccional, podrá ser requerido para una auditoría PCI en caso de haber sufrido un evento de robo de información.
No cumplir con las normativas PCI puede resultar en severas penalidades. Sin embargo, estas multas no son impuestas directamente por el Consejo de Normas de Seguridad PCI, sino más bien por los bancos que adquieren las transacciones. Las sanciones pueden oscilar entre $5,000 y hasta $100,000 dólares mensuales hasta que se corrijan las deficiencias de incumplimiento.
Además, es vital considerar el posible daño a la reputación de tu empresa. El no cumplimiento puede resultar en riesgos significativos, incluyendo la posible exclusión de trabajar con empresas líderes en procesamiento de pagos como Visa, MasterCard o AMEX.
Los estándares de PCI se describen en un documento de más de 124 páginas (el cuál puedes descargar aquí). Estos requerimientos incluyen estrategias de diferentes pilares como seguridad física, en redes, auditoría y monitoreo. Sin embargo, en esta guía nos enfocaremos exclusivamente en aquellos requerimientos que se pueden atacar a nivel de software y operación en la plataforma IBM i.
Estos requisitos cubren al máximo posible los riesgos de sufrir ataques que deriven en robo de datos personales, así como el mal uso de los datos por parte de los empleados. Así como tenemos riesgo de sufrir ataques de malware que puedan pasar desapercibidos, también podemos sufrir fuga de información por parte de áreas de negocio que tienen acceso a estos datos (como áreas de desarrollo, QA o testing). PCI busca blindar por cualquier lado que no se haga mal uso de los datos personales y tarjetas de crédito.
A continuación, exploraremos 8 requisitos clave que debes tener en cuenta para asegurar un entorno IBM i y facilite el cumplimiento de estándares PCI DSS.
Para desentrañar de manera proactiva las fragilidades de seguridad, son fundamentales las evaluaciones de riesgos en cybersecurity. También lo exige PCI DSS y una multitud de otras regulaciones en este ámbito.
Debes utilizar herramientas y servicios de evaluación de riesgos de seguridad en IBM i que revisen la validez de los sistemas, la estructura de las contraseñas, las autorizaciones a las bibliotecas, los puertos accesibles, exit programs y otros aspectos para generar informes detallados sobre posibles amenazas. Estos informes te guiarán sobre cómo abordar y eliminar estos riesgos.
PCI DSS va un paso más allá, solicitando una metodología concreta para realizar pruebas de penetración. Los resultados de estas pruebas permiten a tu organización diseñar tácticas infalibles para protegerse de posibles ataques.
Estos assessments puede ejecutarlos con herramientas como Assure Security generando reportes periodicamente como este ejemplo. En Timware le podemos apoyar a obtener e interpretar este reporte.
Contar con una estrategia de control de accesos es primordial como primer nivel de seguridad al acceso a nuestro IBM i. Existen diferentes estrategias y tecnologías para proteger quién, cómo y cuándo ingresan a nuestro sistema.
Además de tener protección sobre los ingresos a nuestro sistema, es necesario mantener una constante auditoría y monitoreo sobre lo que ocurre en nuestro sistema. Así poder detectar actividad inusual en usuarios que podrían parecer legítimos de nuestra organización. Algunas estrategias y tecnologías disponibles para lograrlo son:
Este es uno de los puntos más importantes al momento de cumplir estándares PCI. Principalmente porque estas estrategias son una de las medidas definitivas para mantener protegidos los datos personales en su IBM i. Las estrategias principales de protección de datos son cifrado, tokenización y anonimización.
Es de vital importancia comprender las diferencias entre cada una de estas estrategias ya que aplicarlas sin una correcta evaluación o planeación puede afectar significativamente la operación del negocio.
Aquí te compartimos una guía fundamental para entender la diferencia entre estas 3 estrategias y que puedas elegir correctamente la que más se acomode a tus circunstancias:
Existen diferentes soluciones para poder ejecutar estas estrategias:
Aquí un webinar sobre el tema que podría resultarte útil:
En el improbable escenario de que un intruso logre sortear todas las barreras de defensa y acceda a tus datos en IBM i, contar con la tecnología de privacidad de datos adecuada hará que la información sea inútil para ellos. Es por esto que PCI DSS establece la necesidad de implementar medidas de protección de datos.
El cumplimiento de PCI DSS requiere de una vigilancia constante y efectiva sobre el acceso a sistemas y datos. Para ello, es esencial tener configurados correctamente los logs y journals de IBM i con el fin de recabar información detallada sobre cada interacción con sistemas y datos de la empresa. Es crucial mantener esta información a salvo y protegidos frente a alteraciones.
En este sentido, las herramientas de vigilancia y generación de informes de seguridad desempeñan un papel importante. Usan técnicas avanzadas de filtrado, consultas e interconexión para examinar los detalles contenidos en los journals y archivos de registro del IBM i. Como resultado, pueden generar alertas y reportes en tiempo real para los eventos de cumplimiento. Dichos eventos pueden ser, por ejemplo, la desencriptación de datos confidenciales, el acceso a datos en horario no laboral, la visualización de un archivo de spool sensible, los cambios en las listas de autorización, entre otros.
Por otro lado, existen soluciones capaces de exportar eventos de seguridad y cumplimiento a herramientas SIEM, tales como Assure Monitoring and Reporting. Estas permiten la correlación, el análisis y la emisión de registros de seguridad de IBM i en un mismo entorno con datos de seguridad de otros sistemas.
El estándar PCI DSS enfatiza sobre la importancia de limitar el acceso a perfiles de usuario con privilegios altos. Para prevenir las violaciones de datos, se sugiere que los usuarios de IBM i sean asignados con las autoridades justas y necesarias para desempeñar sus tareas. No es recomendable asignar perfiles poderosos que contienen *SECADM, *ALLOBJ u otras autoridades similares, excepto cuando sea estrictamente necesario y durante un tiempo limitado.
La implementación de una herramienta de gestión que supervise automáticamente el proceso de asignación y revocación de autoridades puede soportar los exigentes requisitos de gestión de privilegios y minimizar el riesgo de errores humanos que a menudo están asociados con los procesos manuales.
Elevated Authority Manager es una solución que permite automatizar la gestión de permisos en su IBM i. Otorgue de forma segura los permisos correspondietes a los usuarios que los utilicen, únicamente por el tiempo que los necesiten y monitoreando cada movimiento que hagan con esos permisos.
PCI DSS insiste en la implementación de un control efectivo de acceso a sistemas y datos para resguardar tu entorno IBM i de interacciones no autorizadas. Es esencial mantener un seguimiento estricto de las acciones permitidas a los usuarios legítimos. Los intentos de acceso no autorizado a través de sockets y protocolos de red como ODBC, FTP, DRDA, etc., pueden ser evitados con la ayuda de programas de salida regulados por normas que se extienden a sesiones de salida de red y socket.
Debido a la complejidad y mantenimiento que implican los programas de salida, muchas empresas optan por herramientas de terceros. Estas simplifican en gran medida la mencionada gestión y permiten habilitar alertas cuando se detectan comportamientos sospechosos. Una solución completa también ejercerá control sobre el acceso a través de protocolos de base de datos de código abierto, líneas de comando, entre otros.
Las soluciones expuestas en el punto 1 también pueden apoyar con este requerimiento de PCI.
En caso de que un hacker consiga sortear tus sistemas de seguridad y acceda a tus datos de IBM i, es crucial contar con una tecnología sólida de privacidad de datos para garantizar que estos datos no sean aprovechables para él. Precisamente por esto, los estándares PCI DSS exigen la implementación de estrategias de protección de datos. Las estrategias planteadas en el punto 3 sobre protección de datos cumplen en cierta medida la protección total de datos en sitio. Pero es necesario contemplar también los procesos de transferencias de archivos.
Es indispensable la transferencia segura de archivos para salvaguardar los documentos que albergan información delicada durante su movimiento por redes, tanto internas como externas. Habitualmente, estos archivos son transmitidos por FTP haciendo uso de diversas formas para encriptar los datos antes y después de su transferencia, y si es necesario, para conservar la información cifrada en su destino.
Los procedimientos de transferencia segura de archivos llevados a cabo con herramientas de terceros proporcionan un cifrado robusto, mecanismos sólidos de gestión de claves y una serie de características que simplifican y automatizan los procesos de transferencia de archivos.
Secure File Transfer es una solución que le facilita el proceso de transferencia de datos cifrados hacia redes internas o externas desde su IBM i. Permitiéndole tener un control total sobre la información transferida, así como el correspondiete monitoreo y auditoría.
Las pruebas SAST, también conocidas como “pruebas en caja blanca”, implican el escaneo detallado del código fuente de sus aplicaciones en busca de posibles fallos de seguridad. A diferencia de las pruebas DAST, las pruebas SAST pueden ser realizadas en cualquier etapa de desarrollo, incluso antes de que el código esté en funcionamiento, lo que permite una identificación temprana y rectificación de vulnerabilidades.
Por otro lado, las pruebas DAST, o “pruebas en caja negra”, se realizan mientras la aplicación está en funcionamiento. Estas pruebas se centran principalmente en explotar fallos de seguridad que podrían no estar presentes en el código fuente, pero podrían surgir a medida que la aplicación interactúa con otros sistemas o debido a elementos de configuración inseguros.
Ambos enfoques son valiosos por sí solos, pero juntos forman una estrategia de seguridad de aplicaciones sólida, permitiendo una detección de vulnerabilidades exhaustiva desde el diseño y desarrollo hasta la implementación y mantenimiento.
ARCAD Code-checker es una herramienta nativa en IBM i que le permite encontrar este tipo de vulnerabilidades y garantizar altos estándares de desarrollo. Evitando que los desarrolladores compilen código vulnerable o con malas prácticas que pueda representar problemas de mantenimiento o deuda técnica.
Como bien hemos apuntado al principio, esta guía está diseñado para ayudar a los profesionales de seguridad que trabajan con IBM i a familiarizarse con PCI, y a proporcionar estrategias eficaces para su cumplimiento. En ningún caso debe ser interpretado como un documento legal o conclusivo para su cumplimiento.
Desde TIMWare, nuestra principal misión es compartir nuestro conocimiento y experiencia en esta materia para asistir a nuestros clientes a cumplir con los estándares de la mejor manera posible. Si tu empresa necesita ayuda, no dudes en ponerte en contacto con nosotros.