Llegamos a ustedes gracias a:



Noticias

El PCI Council emite normas de cumplimiento para nube

[12/02/2013] Los proveedores de nube y los clientes de la nube ahora tienen una hoja de ruta que define sus responsabilidades sobre la seguridad en la nube.
Desde el 2004, el PCI Security Standards Council (PCI SSC) ha mantenido el Payment Card Industry Data Security Standard (PCI DSS), un estándar de seguridad de la información propietario para el manejo de los datos de las tarjetas de pago.
Cada vez más, las organizaciones han tomado el estándar PCI como una guía para implementar la seguridad, incluso si no tienen la responsabilidad sobre los datos de las tarjetas de pago de los clientes. Pero la pregunta de si el PCI DSS cubre los despliegues de nube -y cómo lo hace- se mantienen en el aire.
En la actualidad, el PCI SSC dio un gran paso hacia aclarar la confusión con el lanzamiento del PCI DSS Cloud Computing Guidelines Information Supplement, que detalla lo que se requiere para asegurar los datos de pago del cliente y soportar el cumplimiento PCI DSS en la nube.
La organización señala que los comerciantes que usan o están considerando usar las tecnologías de nube en su ambiente de datos de tarjetahabientes se beneficiarán de la guía. La PCI SSC señala que también proporciona una guía valiosa a proveedores de servicio externos que proporcionan servicios o productos de nube, y a evaluadores que revisan los ambientes de nube como parte de la evaluación del PCI DSS.
Una de las mayores fortalezas de la computación en la nube es su modelo de responsabilidad compartida, señala Chris Brenton, contribuyente del PCI Cloud Special Interest Group (SIG) y director de seguridad de CloudPassage, empresa proveedora de plataforma de seguridad de servidores de nube CloudPassage.
Sin embargo, este modelo de compartir puede magnificar las dificultades de hacer la arquitectura de un ambiente de computación seguro, señala Brenton. Uno de los mayores logros de este suplemento es que define de manera clara las responsabilidades sobre la seguridad del proveedor de nube y el cliente de nube. Con el PCI DSS como fundamento, esta guía proporciona una excelente hoja de ruta para esbozar una postura segura tanto en la nube privada como en la pública.
Las nuevas pautas fueron construidas en base al trabajo del 2011 Virtualization SIG, pero también en base a los estándares de otras industrias. El PCI SSC señala que ayudará a las organizaciones en lo siguiente:
Supervisión de la nube. El suplemento proporciona una explicación de los modelos comunes de servicio y despliegue para ambientes de nube, incluyendo la forma en que las implementaciones podrían variar dentro de los diferentes tipos.
Relaciones proveedor de nube/cliente de nube. El suplemento esboza diferentes papeles y responsabilidades entre los diferentes modelos de nube y proporciona una guía sobre cómo determinar y documentar las responsabilidades.
Consideraciones PCI DSS. El suplemento proporciona una guía y ejemplos para ayudar a las organizaciones a determinar las responsabilidades de los requerimientos PCI DSS individuales, incluyendo las consideraciones de segmentación y alcance.
Desafíos del cumplimiento PCI DSS. El suplemento describe algunos de los desafíos asociados con la validación del cumplimiento PCI DSS en un ambiente de nube.
Adicionalmente, el PCI SSC afirma que el documento también incluye varios apéndices que se avocan a requerimientos PCI DSS específicos y escenarios de implementación, incluyendo consideraciones adicionales para ayudar a determinar las responsabilidades PCI DSS entre los diferentes modelos de servicio de nube; ejemplos de inventarios de sistemas para ambientes de computación en la nube; una matriz de muestra para documentar la forma en que se asignan las responsabilidades PCI DSS entre el proveedor de nube y el cliente; y un conjunto de preguntas de inicio que pueden ayudar a determinar la manera en que los requerimientos PCI DSS pueden encontrarse en un ambiente de nube en particular.
Thor Olavsrud, CIO (EE.UU.)