Para mantener los datos del titular de la tarjeta seguros, primero debes comprender todos los aspectos de tu negocio que se relacionan con la seguridad de los datos del titular de la tarjeta. El proceso de identificar todos estos componentes se conoce como definición del alcance PCI.

El alcance PCI se refiere a todas las personas, procesos y tecnologías que tocan los datos del titular de la tarjeta o que podrían afectar su seguridad.

Cualquier sistema que forme parte de tu entorno de datos del titular de la tarjeta (CDE) se denomina 'dentro del alcance'. Cuantos más sistemas dentro del alcance tengas, más difícil será asegurar y gestionar tu CDE.

Comprender tu alcance y reducirlo donde sea posible es clave para minimizar el tiempo y costo de convertirse en conforme con PCI.

En este artículo, desglosamos qué hace que un sistema esté dentro o fuera del alcance y ofrecemos consejos sobre cómo puedes reducir el alcance para simplificar tu proceso de cumplimiento.

¿Qué es el alcance PCI?

El alcance PCI se refiere a las personas, procesos y tecnologías que interactúan con o impactan la seguridad de los datos del titular de la tarjeta. En pocas palabras, si un aspecto de tu negocio procesa, almacena o transmite datos del titular de la tarjeta, se considera dentro del alcance.

Antes de embarcarte en tu viaje de cumplimiento PCI, primero deberás determinar el alcance de tu negocio. Para hacer esto, identifica todos los componentes del sistema que están incluidos en o conectados al CDE. Estos componentes deben estar asegurados a través de los requisitos aplicables según el estándar PCI DSS.

Mapear tu CDE es un excelente lugar para comenzar al determinar el alcance general. Sin embargo, hay más que eso.

Una definición precisa del alcance PCI DSS también requiere comprender cómo fluyen los datos del titular de la tarjeta dentro del entorno.

Durante el ejercicio de definición del alcance, que ocurrirá al comienzo de tu viaje de cumplimiento PCI, categorizarás los sistemas en tres grupos: dentro del alcance, fuera del alcance y conectados a. Desglosamos el significado de estos términos a continuación.

¿Cuándo se considera que un sistema está dentro del alcance?

Se considera que un sistema está dentro del alcance cuando se conecta, impacta o está involucrado con los datos del titular de la tarjeta y su seguridad.

Una regla general para el alcance de PCI es considerar todo dentro del alcance al principio, antes de descartar sistemáticamente los componentes fuera del alcance. Esto ayuda a asegurar que no hayas pasado por alto ningún sistema, persona o proceso crítico.

Hay algunas "reglas" en torno a la definición del alcance que se aplican en todos los escenarios:

• Los sistemas ubicados dentro del CDE están dentro del alcance, independientemente de su función o por qué están en el entorno.
• Los sistemas que se conectan a un sistema en el CDE están dentro del alcance, independientemente de su función o la razón de su conexión.

Hay dos categorías de sistemas que se consideran dentro del alcance: sistemas CDE y sistemas conectados e impactantes en la seguridad.

Sistemas del entorno de datos del titular de la tarjeta

Los componentes del sistema CDE incluyen dispositivos de red, servidores, dispositivos informáticos y aplicaciones. Estos se consideran dentro del alcance por PCI DSS porque están directamente vinculados e impactan la seguridad de los datos del titular de la tarjeta.

Estos sistemas deben evaluarse con todos los requisitos relevantes de PCI DSS. Los controles implementados para proteger los sistemas dentro del alcance deben ser examinados al menos anualmente.

Sistemas conectados e impactantes en la seguridad

Los sistemas conectados o impactantes en la seguridad también se consideran dentro del alcance. Este tipo de sistemas tienen un camino de comunicación (ya sea físico o lógico) hacia uno o más sistemas en el CDE.

Implementar estas tecnologías puede ser complicado. El Consejo de Normas de Seguridad PCI (PCI SSC) recomienda consultar con un experto para ayudar a determinar el impacto potencial en la seguridad que los sistemas conectados pueden tener en tu alcance.

¿Cuándo se considera que un sistema está fuera del alcance?

Los sistemas fuera del alcance no tienen acceso a ningún componente del CDE, lo que hace innecesaria la implementación de controles de seguridad PCI.

Los sistemas considerados fuera de alcance también se llaman "sistemas no confiables" porque no hay garantía de que estén suficientemente protegidos.

Para que un sistema se considere fuera de alcance, debe cumplir con todos los siguientes requisitos:

• Los componentes no deben almacenar, procesar ni transmitir datos del titular de la tarjeta ni datos de autenticación sensibles (SAD).
• No deben compartir un segmento de red, subred o red de área local virtual (VLAN) con sistemas que almacenen, procesen o transmitan datos del titular de la tarjeta o SAD.
• Los componentes no pueden conectarse ni acceder a ninguna parte del CDE.
• No pueden obtener acceso al CDE ni afectar sus controles de seguridad a través de un sistema dentro del alcance.
• No deben cumplir con ningún criterio definido para sistemas o componentes de sistemas conectados, impactantes en la seguridad o dentro del alcance.

Si un sistema no cumple con uno solo de los requisitos anteriores, se considera dentro del alcance.

El hecho de que un sistema se considere fuera del alcance no significa que no merezca medidas de seguridad. Se recomienda emplear las mejores prácticas de seguridad para proteger tus sistemas y redes fuera del alcance.

¿Qué es la segmentación?

Puede que te preguntes si hay alguna forma de reducir tu alcance PCI. La respuesta es sí. Este proceso se conoce como segmentación.

La segmentación permite a un negocio aplicar controles de seguridad adicionales para aislar los sistemas que manejan datos de titulares de tarjetas de aquellos que no lo hacen. La segmentación es similar a construir una cerca alrededor de tu casa. No solo mantiene a tu familia y hogar seguros, sino que también mantiene alejados a los intrusos.

La segmentación te permite “aislar” tu CDE de las redes fuera de alcance. Los métodos de segmentación comunes incluyen VLAN y cortafuegos.

Cuando se implementa correctamente, una red comprometida fuera de alcance no afectará a tu CDE.

PCI SSC anima a las empresas a usar la segmentación para ayudar a reducir el costo del cumplimiento PCI, simplificar el proceso de implementación y mantenimiento de los controles PCI, y reducir el riesgo organizacional al consolidar los datos de titulares de tarjetas en menos ubicaciones más seguras.

Sin segmentación (también conocida como red plana) toda tu red se considera dentro del alcance según el estándar PCI DSS.

Existen dos tipos de métodos de segmentación:

• Segmentación física aísla los sistemas CDE de los sistemas fuera de alcance con dispositivos de red, cortafuegos o servidores físicamente separados.
• Segmentación lógica aísla los sistemas CDE de los sistemas fuera de alcance utilizando cortafuegos internos, enrutadores u otras tecnologías que restringen el acceso desde o hacia un segmento de red específico.

Un negocio puede decidir usar cualquiera de estos métodos de segmentación o una combinación de ambos.

Cómo delimitar tu CDE

PCI SSC publicó una guía de delimitación útil en 2016 que incluye un ejercicio de delimitación en seis pasos para ayudarte a determinar y gestionar tu alcance.

1. Identifica todos los canales de pago

Comienza identificando cómo y dónde recibe tu organización los datos de los titulares de tarjetas. Considera todo el ciclo de vida de los datos de los titulares de tarjetas desde el punto en que los recibes hasta cuando son eliminados.

2. Mapea el flujo de datos de los titulares de tarjetas

Luego, documenta cómo los datos de los titulares de tarjetas fluyen a través de tu organización.

También identifica y documenta las personas, procesos y tecnologías que están involucrados en el almacenamiento, procesamiento o transmisión de datos. Estas personas, procesos y sistemas se consideran parte de tu CDE.

3. Identifica otros sistemas conectados y que impactan la seguridad

Examina tus procesos, componentes del sistema y personal que tienen la capacidad de interactuar o impactar la seguridad de los datos de los titulares de tarjetas. Estas personas, procesos y tecnologías también se consideran dentro del alcance.

4. Implementa controles para minimizar el alcance

Después de identificar a todas las personas, procesos y tecnologías dentro del alcance, comienza a segmentar tu red para limitar las conexiones entre los datos de los titulares de tarjetas y los sistemas dentro del alcance solo a lo necesario.

5. Implementa todos los requisitos PCI aplicables

Después de reducir tu alcance, identifica e implementa los requisitos PCI DSS que son aplicables a tus sistemas, procesos y personal dentro del alcance.

6. Mantén y monitorea tu alcance

Una vez que se hayan cumplido los requisitos PCI para todos los sistemas dentro del alcance, asegúrate de que los controles que has implementado seguirán siendo efectivos. También debes crear un proceso para actualizar tu alcance cuando se realicen cambios en los sistemas, procesos y personal.

Consideraciones de delimitación PCI

El PCI SSC ha emitido algunas orientaciones adicionales para comprender y mantener su alcance. Aquí hay algunas consideraciones importantes a tener en cuenta.

• La segmentación no reduce automáticamente su alcance. En su lugar, la segmentación debe construirse con propósito e intención para garantizar que el CDE esté suficientemente protegido.
• El alcance de PCI debe reevaluarse anualmente. Durante esta revisión, la empresa debe realizar otro ejercicio de delimitación de PCI para examinar el flujo de datos del titular de la tarjeta e identificar cualquier nuevo sistema dentro del alcance. La documentación debe mantenerse año tras año como evidencia durante las auditorías.
• Los segmentos de red deben someterse a pruebas de penetración PCI anuales. Estas pruebas garantizarán la efectividad de sus métodos de segmentación y ayudarán a identificar cualquier vulnerabilidad antes de que afecte la seguridad de los datos del titular de la tarjeta.

Otras formas de reducir su alcance PCI DSS

Si bien la segmentación es uno de los métodos más comunes para reducir el alcance de PCI, hay pasos adicionales que puede tomar.

No almacenar datos que no necesita

Este es sencillo: si no necesita los datos del titular de la tarjeta, no los almacene.

El almacenamiento de datos del titular de la tarjeta conlleva a regulaciones rigurosas bajo el Requisito 3 de PCI DSS que implican la creación y el cumplimiento de políticas relacionadas con la identificación, retención y eliminación.

Al evitar el almacenamiento innecesario de datos del titular de la tarjeta, no solo reduce su alcance, sino que también simplifica su proceso de cumplimiento con PCI.

Tokenización

La tokenización convierte los datos del titular de la tarjeta en letras y números generados algorítmicamente.

Una vez que el proceso ha terminado, los tokens no se consideran datos del titular de la tarjeta. Esto significa que los sistemas que procesan, almacenan o transmiten tokens no se consideran dentro del alcance.

Use una solución P2PE listada por PCI

Si su organización realiza pagos en una tienda física, el uso de una solución de cifrado punto a punto (P2PE) en el punto de venta ayuda a reducir su alcance.

Una herramienta P2PE cifra los datos del titular de la tarjeta, y solo el proveedor de la solución puede descifrarlos. Esto significa que el comerciante nunca tiene acceso a los datos de la cuenta sin cifrar.

Las empresas que usan una solución P2PE deben completar un SAQ de P2PE, que es un proceso de evaluación significativamente menos riguroso en comparación con otros tipos de SAQ.

Externalice a un proveedor de servicios de terceros

También puede optar por externalizar ciertos aspectos de la gestión de datos del titular de la tarjeta a un proveedor de servicios de terceros.

Sin embargo, usted sigue siendo el último responsable de proteger los datos del titular de la tarjeta y debe hacer su debida diligencia para asegurarse de que los terceros con los que trabaje cumplan con los requisitos PCI aplicables.

Cómo Secureframe puede ayudar a definir su CDE

Si determinar su alcance aún le parece abrumador, estamos aquí para ayudarlo.

El equipo de expertos de Secureframe en PCI DSS lo guiará a través de todo el proceso de definición de alcance antes de ayudarlo en el resto del viaje de cumplimiento.

¿Listo para comenzar? Solicite una demo con nuestro equipo hoy mismo.