Proteger los datos de pago con tarjeta bancaria

Los ciberdelincuentes han entendido que las tarjetas de crédito son un objetivo lucrativo para los ataques. El organismo rector de la industria de tarjetas de pago, el PCI Council, ha respondido a esta amenaza emitiendo un marco de trabajo en ciberseguridad, el Estándar de Seguridad de Datos de PCI o, simplemente, PCI DSS, para desarrollar un régimen de seguridad sólido enfocado a proteger los datos de los titulares de tarjetas. Más recientemente, tras las filtraciones de Snowden y salir a luz la existencia de ataques patrocinados por los propios estados a los datos personales gubernamentales, los reguladores gubernamentales han ido promulgando requisitos reglamentarios para la notificación de violaciones de datos. En particular, el Reglamento General Europeo de Protección de Datos, o GDPR por sus siglas en inglés, ha aumentado la responsabilidad comercial en caso de una violación de datos. Hoy en día, no podemos pensar en un negocio online que no acepte pagos a través de tarjetas de crédito, por lo que deben cumplir con la regulación desarrollada para proteger su información y sus transacciones. Es útil comprender la terminología de PCI al revisar su estándar de seguridad de datos. Un comercio es la empresa que acepta una tarjeta de crédito o débito como forma de pago. Un proveedor de servicios es aquel que brinda el servicio de almacenamiento de información de tarjetas de pago o las transacciones del comerciante. Un auditor de seguridad cualificado es una tercera persona independiente del comercio y certificada para revisar e informar sobre el cumplimiento de PCI. Un auditor de seguridad interno trabaja para el comerciante y está certificado para presentar una autoevaluación. Una violación de datos es un fallo de seguridad debido a la filtración de información del titular de tarjeta. Los datos o información del titular de tarjeta son el número de la propia tarjeta, el nombre del titular de la tarjeta, la fecha de vencimiento y el código de servicio. Los datos confidenciales de autenticación son los datos codificados en la banda magnética, o el chip, el valor de verificación de la tarjeta, más conocido como CVC, y el PIN. En un caso de una violación de datos, la compañía emisora de la tarjeta iniciará una investigación para determinar la causa. Si la empresa cumple con PCI, evitaría cualquier reclamación, pero de lo contrario, se podría enfrentar a una fuerte multa o directamente a la eliminación de su derecho a aceptar tarjetas de crédito para cobrar a sus clientes. En cualquier caso, siempre deberá hacer frente a los costes de remediación, que podrían incluir el reemplazo físico de la tarjeta, los gastos de gestión o incluso una compensación directa al cliente. Con estos antecedentes de PCI, veamos ahora en qué consiste el estándar PCI DSS. El estándar proporciona un conjunto de controles procesables junto con procedimientos de prueba para proporcionar una definición clara de lo que se debe hacer para lograr el cumplimiento. La versión 4.0, que se publicó en marzo de 2022, de esta norma, proporciona 12 áreas de requisitos técnicos y operativos, que cubren casi 200 controles obligatorios. Demos un vistazo solo a algunos de los controles clave para las primeras seis áreas de requisitos. El primer requisito es tener una configuración de firewall eficaz. Esto significa que se han seguido unos estándares de configuración de las reglas del firewall, que se utiliza un proceso de gestión de cambios en firewall que asegura la revisión y aprobación de los cambios y que los conjuntos de reglas se revisan cada seis meses. Se debe mantener diagramas de red específicos para cualquier parte de la red que almacene, transmita o interactúe con datos de tarjetas de pago, es decir, que esté en el alcance de PCI DSS. Además, es necesario definir los flujos de datos a través de la red. Se debe denegar el acceso a los sistemas donde se almacena la información de los titulares de tarjetas a todo tráfico que no esté relacionado con las transacciones de los titulares de tarjetas. Por lo tanto, es normal tener una zona PCI segregada en la red interna para que el tráfico se pueda monitorizar y administrar en la puerta de enlace de la zona PCI. Se necesita una zona desmilitarizada para cualquier sistema con acceso a Internet y esto debe estar protegido por firewall en las puertas de enlace internas y externas. Solemos pensar en los firewalls como dispositivos dedicados a gestionar redes de un cierto tamaño, pero no debemos olvidar que los dispositivos móviles, tanto los corporativos como los personales, que pueden conectarse a la red interna deben tener un software de firewall local instalado y operativo, con una configuración que el empleado no pueda cambiar. Si la organización tiene una política de Bring Your Own Device, debemos tenerlo en cuenta en los controles y políticas de Firewall. El siguiente requisito es que se cambien todas las contraseñas predeterminadas y los ajustes de configuración inseguros. Así, es obligatorio tener políticas de configuración de seguridad para cada dispositivo y componente del sistema, para permitir una fortificación efectiva, y se deben eliminar toda información o servicios no necesarios. Los datos almacenados de titular de tarjeta deben mantenerse el mínimo tiempo posible y bien protegidos. No se pueden almacenar datos confidenciales de autenticación, incluso en forma cifrada, una vez que se haya completado la autenticación. El número de cuenta, si se muestra, debe estar enmascarado, generalmente ofuscando todos los dígitos excepto los cuatro últimos. Cuando se almacena, el número de cuenta debe estar protegido mediante criptografía sólida, o un hash unidireccional. La administración de claves es uno de los puntos más críticos de cualquier solución criptográfica y debe implementarse con cuidado y por profesionales experimentados. La normativa indica que los datos de titular de tarjeta deben ser cifrados en el momento de transmitirlos por redes no seguras, como Internet o redes inalámbricas sin protección. Nunca deben enviarse datos de usuario, como el número de tarjeta, mediante ningún sistema no protegido, como puede ser el correo electrónico o la mensajería. El esquema criptográfico debe ser seguro y debemos tener en cuenta que lo que se considera seguro puede cambiar con el tiempo. Durante muchos años, se consideró que SSL, Secure Socket Layer, era una solución válida, muy extendida en el acceso web. En 2013, una vulnerabilidad fundamental en el esquema SSL fue detectada y explotada en el ataque que recibió el nombre de Heartbleed. Debido a esto, el PCI Security Standards Council determinó que el protocolo Secure Socket Layer ya no era una solución aceptable para la protección de los datos de los titulares de tarjetas, por lo que todos los comerciantes debían sustituirlo en sus sistemas si querían mantener la certificación PCI y seguir operando con tarjetas de crédito. Los sistemas que procesan datos de titulares de tarjeta deben disponer de un software antivirus que les proteja frente al malware tanto en los equipos de usuario final como en los servidores. Como es posible que los sistemas antivirus no detecten las variantes de malware más moderna, se exige la realización de escaneos periódicos que permitan detectarlos lo antes posible. Las amenazas y vulnerabilidades deben monitorizarse a través de alertas de proveedores y fuentes de inteligencia de amenazas. Y los parches de seguridad críticos deben instalarse dentro del mes posterior a su publicación. Si los sistemas que trabajan con datos de tarjeta de crédito son desarrollos propios, debe tenerse en cuenta que las cuentas de desarrollo y prueba deben eliminarse antes de que los sistemas entren en producción y se debe incluir la revisión del código fuente antes de la implementación, con especial atención a las vulnerabilidades más habituales, como la SQL injection o el cross-site script. Los números de tarjeta reales nunca deben utilizarse para hacer pruebas o desarrollos. Los siguientes seis requisitos de seguridad en PCI DSS abordan el nivel de seguridad requerido fuera del propio entorno PCI. Es especialmente interesante el requisito de restringir el acceso físico a las ubicaciones donde se almacenen o gestionen datos de tarjetas de crédito, extendiéndose hasta los propios dispositivos utilizados para leer tarjetas. Los cajeros automáticos y más recientemente los lectores integrados en dispositivos como surtidores de gasolina son el objetivo habitual de los delincuentes que instalan dispositivos para copiar los datos de tarjetas de crédito. Estamos hablando de grandes cifras. En abril de 2015, una revisión de 6 000 gasolineras en Florida encontró 81 dispositivos conectados a los surtidores de gasolina. Se estima que esta estafa en particular genera en los Estados Unidos de América hasta 3 000 millones de dólares al año para los delincuentes. Si visitamos el sitio de filtraciones de datos informationisbeautiful, que vemos en pantalla, podemos encontrar en el extremo izquierdo del gráfico esta violación de datos de mayo de 2021 en Air India, donde se filtran los detalles de la tarjeta de crédito. Podemos ver la cantidad de clientes cuya información fue filtrada. Suponiendo que todos tuvieran datos de tarjeta de crédito almacenados, podemos estimar el valor de este robo para los delincuentes, si consideramos que cada tarjeta se usó una sola vez para una única compra maliciosa de 10 dólares. Este vídeo ha sido una introducción rápida al estándar PCI DSS. Hay muchos más detalles proporcionados por el PCI Council sobre este y sobre otros estándares. Y todos están disponibles para descargar desde su sitio web, que se muestra aquí.