TIPS TECNOLÓGICOS, DE CONFIGURACIÓN Y NEGOCIO QUE COMPLEMENTAN TU SEGURIDAD

Cumpliendo PCI DSS con Cloud Computing

Escrito por marketing on 18/02/13 10:34

Hace unos pocos días fue publicado por el PCI Security Standards Council un informe acerca de  relativo a la computación en la nube. (PCI- DSS y Cloud Computing) En este documento se toman aspectos enfocados a  como los servicios en la nube suponen una pérdida de control, por lo que es necesario delimitar claramente las responsabilidades de las partes antes de utilizarlos y llevar a cabo un proceso de due diligence previo que permita verificar el cumplimiento del proveedor con los requisitos de PCI DSS. Siempre se debe recordar que es necesario establecer un adecuado aislamiento de los datos en los entornos en la nube mediante mecanismos de segmentación que permitan limitar el alcance de las evaluaciones de cumplimiento. El proveedor y el cliente deben contar con mecanismos para asegurar que el cumplimiento se mantiene de manera continúa. El documento gira entorno a tres ideas principales que gobiernan todo el contenido Entre lo que se destaca del
primer apartado se encuentran estos puntos. . .

  • Se proporciona una guía muy útil de cómo se pueden distribuir las responsabilidades entre cliente y proveedor,para cada una de las modalidades de servicios en la nube (SaaS, PaaS e IaaS) puesto que se considera indispensable que conste por escrito quien se responsabiliza de la implantación y ejecución de cada control, cómo se va a informar sobre su estado y su gestión y que el cliente entienda qué responsabilidad acepta el proveedor para cada control.
  • Se refuerza la idea de que una pérdida de control sobre los controles no supone una pérdida de responsabilidad del cliente de que dichos contrales deben ser efectivos y, por tanto, debe asegurarse un nivel de visibilidad y de monitorización de los mismos adecuado.
  • Se recomienda a los clientes que trabajen con proveedores que cumplan PCI DSS pero que, antes de contratar un servicio, se informen de:
  • Se debe de tomar en cuenta el tiempo ¿Desde cuándo cumple el proveedor con PCI DSS y cuándo fue su última evaluación?
  • Se realizan preguntas como ¿Qué servicios y requerimientos fueron incluidos en dicha evaluación?, ¿Qué sistemas e instalaciones fueron evaluados?. ¿Si algún componente del sistema necesario para la prestación del servicio no fue incluido en la evaluación?.
  • Se analiza el ¿Cómo evita el proveedor que los clientes no introducen componentes que no cumplan con PCI DSS o eviten los controles existentes?.
  • Se da a conocer como el cliente tiene que seguir demostrando su cumplimiento con los requisitos de PCI DSS.

Respecto al
segundo concepto sobre la necesidad de aislamiento mediante segmentación, lo más destacable, es que te dan a conocer la dificultad que engloba el utilizar servicios de nube pública que no hayan sido pensados para cumplir con PCI DSS; ya que de alguna forma obliga a una total segmentación entre entornos de distintos clientes y con el propio proveedor sin ninguna conectividad entre ellos; es decir, no se puede compartir ningún elemento del sistema, ni aplicación, ni bases de datos, ni comunicaciones… en definitiva, realmente complejo pensar en una aplicación SaaS que pueda ser eficiente si tenemos que aplicar todas estas medidas de segmentación. Siempre se debe recordar que la segmentación debe proporcionar un aislamiento equiparable al que obtendríamos con una separación física de redes Sin una adecuada segmentación, todos los clientes de la infraestructura compartida, así como el propio proveedor, tendrán que cumplir con PCI DSS para que cualquiera de sus clientes pueda ser considerado como que cumple con el estándar. Es decir, todos ellos estarán considerados en el alcance de la evaluación de cumplimiento de cualquiera de ellos, haciendo prácticamente imposible alcanzar el cumplimiento. La segmentación implementada debe ser validada, como siempre, por el QSA. Es importante entender las relaciones del proveedor con terceros, puesto que añaden complejidad a la delimitación del alcance y al objetivo de cumplir con el estándar. Las recomendaciones para reducir el alcance serían:

  • No utilizar servicios en la nube.
  • Utilizar una infraestructura dedicada, solo para el entorno incluido en el alcance.
  • Minimizar la dependencia en el proveedor para cumplir con los requerimientos (es decir, utilizar servicios en los que el cliente mantenga más el control: IaaS o, como mucho, PaaS).
  • Tratar de evitar que los datos estén en claro en la nube.
  • En relación a la propia evaluación, si el cliente no ha sido evaluado, debe ser incluido en la evaluación de cumplimiento del cliente y, entonces, deben establecerse SLAs que claramente identifiquen el permiso del proveedor a ser auditado y la parte de las tareas que van a ser realizadas por cada uno de ellos.

En relación a la
tercera idea de mantenimiento a lo largo del tiempo, el documento recoge la necesidad de que el cumplimiento se mantenga durante la prestación del servicio y el proveedor debe demostrar cómo se mantiene dicho cumplimiento en el tiempo. Cabe mencionar que el documento incluye un apartado final con la guía que sugiere a los clientes antes de adoptar un servicio en la nube (entender, comparar, evaluar conocer …), así como un apéndice (el D) con preguntas a realizar al proveedor como orientación para todo este proceso de due diligence. Para más información visita www.enplusone.com Realizado por Nataly Mejía Marketing

Topics: Lo más nuevo


Deja un comentario

No te pierdas lo mejor en Seguridad ¡Suscríbete al blog!

Lists by Topic

see all

Lo que se dice en Smartekh

ver lo mejor en Seguridad
CyberSecTrends2023
Smartekh Cloud Happy Hour
15-3
TikTok

¿Quieres hablar con un Consultor de Ciberseguridad?