Llegamos a ustedes gracias a:



Noticias

El consejo PCI publica pautas de seguridad inalámbrica para las tarjetas de pago

[07/15/2009] Cualquier empresa que acepte tarjetas de crédito y débito -y usa o considera usar LAN inalámbricas- debería revisar con cuidado las recomendaciones para el uso de los puntos de acceso inalámbricos 802.11 que se encuentran detallados en las pautas https://www.pcisecuritystandards.org/ emitidas el miércoles por parte del Payment Card Industry Security Standards Council.

En el pasado, el consejo ha emitido estándares que se han convertido en requerimientos de Visa, MasterCard, bancos y otras instituciones para tener una proceso de pago y tarjeta de débito seguras. Troy Leach, director técnico del consejo, enfatizó que las recomendaciones en las PCI Data Security Standard (DSS) Wireless Guideline no son obligatorias para las empresas que manejan tarjetas de crédito y usan WLAN. Pero añade, esta es la forma en que el inalámbrico debió haber sido desplegado siempre.
Y aunque no es oficialmente obligatorio, las pautas PCI para los despliegues de WLAN, amplían el actual estándar PCI DSS, y dirige a los comerciantes en la dirección que el consejo considera óptima para proteger los datos de los tarjetahabientes.
Las pautas fueron elaboradas por el Wireless Special Interest Group (SIG) del consejo, presidido por Doug Manchester, director de Seguridad de Productos de VeriFone Holdings, en un proceso que tomó más de medio año con 50 participantes SIG.
Manchester, quien señala que las pautas son específicas para las WLAN, y no incluyen tecnologías tales como el BlueTooth (en el futuro se pueden esperar más pautas para la tecnología inalámbrica), señala que la meta era aclarar preguntas y establecer un vocabulario común.
Estas pautas es para TI y los administradores de red y trata sobre cómo implementar el inalámbrico, señaló Manchester, añadiendo no es nuevo en términos de objetivos de control.
Un objetivo de control básico en el procesamiento de los datos de los tarjetahabientes es establecer el ambiente de datos del tarjetahabiente (cardholder data environment - CDE).
Especialmente, la meta es establecer el alcance de la CDE en donde los datos del tarjetahabiente son transferidos, procesados o almacenados. Las nuevas pautas señala que se requiere de un firewall que demarque el límite de la CDE de la organización.
Además, incluso si un negocio que procesa tarjetas de pago no hace uso de los puntos de acceso inalámbricos, el consejo recomienda que la empresa regularmente revise la presencia de puntos de acceso problemáticos definidos como un dispositivo inalámbrico no autorizado que permite el acceso al CDE.
Para combatir el punto de acceso problemático, las empresas necesitarán usar un analizador inalámbrico o medidas preventivas tales como los sistemas de detección/prevención de intrusión inalámbrica (wireless intrusion detection/prevention system - IDS/IDP) regularmente en cualquier locación del CDE, de acuerdo al consejo.
El consejo recomienda a las grandes organizaciones que establezcan una revisión automática usando sistemas IDS/IPS inalámbricos centralmente administrados. La meta debe ser eliminar cualquier amenaza de forma inmediata y revisar el ambiente en forma continua. Las pautas sugieren revisiones trimestrales cada año para detectar dispositivos inalámbricos problemático que puedan estar conectados al CDE en alguna locación y tener un plan de respuesta para tratar con ellos.
Para aislar las redes inalámbricas que no transmiten, almacenan o procesan datos de tarjetahabientes, se debe utilizar un firewall, y tiene que filtrar paquetes basado en el protocolo 802.11; desarrollar una inspección dinámica de conexiones; y monitorear y registrar el tráfico permitido y denegado por el firewal,l de acuerdo a la regla 10 del PCI DSS. Los registros del firewall tienen que ser monitoreados diariamente y las reglas del firewall verificadas cada seis meses.
Las pautas inalámbricas también señalan que no es suficiente confiar en una virtual LAN (VLAN) basada en segmentación.
Otras recomendaciones para LANs inalámbricas son:
* Para las redes inalámbricas dentro del alcance se debe aplicar seguridad física, con opciones que incluyan montar los puntos de acceso inalámbrico en el techo y la deshabilitación de las opciones de la interfase de consola y factory rest mediante el uso de un chasis a prueba de alteraciones.
* Cambiar la configuración por default de los puntos de acceso en cuanto a sus contraseñas de administración, configuración del encriptamiento, función de reset. Deshabilitar el acceso SNMP a los puntos de acceso remotos, si es posible. No publicitar los nombres de las organizaciones en el SSID.
* Usar el encriptamiento AES es recomendable para las redes WLAN. Específicamente, se debe encriptar la información que fluye a través de ciertos segmentos de la red, incluyendo dispositivos de seguridad inalámbricos que se conectan con la WLAN privada a través de puntos de acceso.
* Se debe establecer el uso de políticas inalámbricas para la aprobación explícita del uso de redes inalámbricas en el CDE. Las políticas de uso requieren el reconocimiento de los dispositivos inalámbricos con propietario, información de contacto y propósito.
Leach señala que el consejo espera que estas nuevas pautas de seguridad para WLAN ayuden a los comerciantes, particularmente a los más pequeños, cuando vayan a comprar puntos de acceso inalámbricos para implementar en sus propios negocios.
Ellen Messmer, Network World (US)