Lo que los CIO, CSO y CTO deben saber sobre el alcance de PCI y la orientación de segmentación: por David King

Como director de tecnología de una fintech internacional y miembro del consejo asesor del Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago, a menudo paso mi tiempo libre leyendo todo lo relacionado con pagos y seguridad, no me juzguen 😀.

Hace poco releí el

Guía de segmentación y alcance de PCI DSS para arquitecturas de red modernas Suplemento informativo: una gran parte de la guía actualizada para lograr el cumplimiento de PCI en tarjeta de circuito impreso

DSS v4. Es una lectura larga, pero importante. Y en mi humilde opinión, debería ser una lectura obligatoria para todos los CTO, CIO y CSO cuyas empresas se ocupan de pagos. Entonces, para ayudarlo a comenzar, he elaborado un resumen rápido.

El panorama de las redes de pago modernas

Los modelos tradicionales de seguridad de red dependían en gran medida de controles basados ​​en perímetros. Sin embargo, con la aparición de la computación en la nube, los microservicios y las arquitecturas de confianza cero, las redes de pago son ahora muy dinámicas y sin fronteras. El perímetro de la red es menos claro

que cuando todo estaba alojado en el sitio. Estos avances aportan flexibilidad y escalabilidad, pero también introducen complejidades a la hora de determinar el alcance del cumplimiento de PCI DSS y la capacidad de mantener una segmentación de red eficaz.

Básicamente, el cumplimiento de PCI DSS garantiza la protección de los datos de los titulares de tarjetas al aislar el entorno de datos de los titulares de tarjetas (CDE) de los sistemas fuera de alcance. La nueva guía PCI SSC reconoce los desafíos que plantean las arquitecturas modernas y proporciona

estrategias para afrontarlos:

Los desafíos de las redes modernas requieren una segmentación sólida y una seguridad basada en transacciones y a nivel de dispositivo.

• Entornos multinube: Muchas organizaciones gestionan varios proveedores de servicios en la nube. Integrarlos requiere estrategias de segmentación sólidas para gestionar las diversas configuraciones y al mismo tiempo mantener la visibilidad en todas las plataformas.
• Entornos híbridos: Algunas organizaciones combinan sistemas locales y en la nube. Las organizaciones que ejecutan este modelo deben centrarse en controles de seguridad consistentes en ambos dominios.
• Arquitecturas de confianza cero: Estos modelos imponen acceso con privilegios mínimos y autenticación granular. Su atención debe pasar de los perímetros de la red a la seguridad basada en transacciones y a nivel de dispositivo.

Las mejores prácticas de segmentación siguen siendo las mismas.

• Nada aquí ha cambiado; la segmentación efectiva ha reducido el alcance de las evaluaciones PCI DSS. Asegúrese de centrar sus controles en los sistemas críticos y segmentar su CDE.
• Herramientas como redes definidas por software (SDN) y mallas de servicio Ofrecer capacidades avanzadas de segmentación, como microsegmentación y aplicación de políticas en tiempo real.

La verificación mediante pruebas penetrantes sigue siendo fundamental.

• Las pruebas periódicas de penetración de segmentación son vitales. Estas pruebas garantizan que los límites entre los sistemas dentro y fuera del alcance permanezcan intactos y resaltan las vulnerabilidades que podrían comprometer los datos de los titulares de tarjetas.
• En entornos de confianza cero, las pruebas deben validar los procesos de autenticación continua y la eficacia de los controles de microsegmentación.

Algunas recomendaciones prácticas

Las redes modernas se están volviendo cada vez más distribuidas y complejas, lo que aumenta la complejidad de las PCI DSS y el potencial de violaciones de datos. En situaciones complejas, primero

principios de pensamiento Siempre funciona mejor para mí. Si me lo piden, aquí hay algunas pautas prácticas que daría y que utilizo en Flywire.

1. Comprenda su flujo de datos: Comience con un mapeo completo de dónde se almacenan, procesan y transmiten los datos de los titulares de tarjetas. Documentar y analizar estos flujos ayuda a establecer los límites de su CDE.
2. Adopte la automatización y el monitoreo: Utilice herramientas como la IA para el descubrimiento automatizado, la gestión de la configuración y la supervisión para mantener definiciones de alcance precisas en entornos dinámicos. Actualizaciones periódicas de su inventor y diagramas son
   
   crítico para el cumplimiento.
3. Adopte herramientas de segmentación avanzadas: SDN permite políticas y aplicaciones dinámicas y centraliza el control de la red. Las mallas de servicios garantizan la comunicación entre servicios con características como seguridad de la capa de transporte (TLS) mutua y monitoreo del tráfico.
4. La confianza cero es el futuro: Transición a modelos de confianza cero donde cada usuario, dispositivo y sistema debe demostrar su legitimidad en cada punto de acceso. PCI DSS se trata de controles granulares y este es un gran ejemplo de ello.
5. Fortalecer las pruebas de penetración: Las pruebas de penetración deben ir más allá de los controles portuarios básicos. Tenga un equipo rojo que incorpore escenarios de ataques del mundo real para evaluar la efectividad de la segmentación de su red.

En resumen, la guía PCI DSS es un modelo excelente para abordar las complejidades de las redes de pago modernas. Al alinear las prácticas de segmentación con tecnologías en evolución, como las arquitecturas nativas de la nube y de confianza cero, podemos garantizar una seguridad sólida y al mismo tiempo

optimizar los esfuerzos de cumplimiento.

Todas las organizaciones de pagos deben adoptar estas prácticas para establecer una base resistente para el futuro de la innovación en el ecosistema de pagos.