Nuevo estándar PCI-DSS 2.0 para seguridad en pagos online

12 Nov 2010 en Software

Ya aparecieron las especificaciones del nuevo estándar de Payment Card Industry (PCI) Data Security Standards (DSS) versión 2.0. Con el nuevo PCI-DSS 2.0, ni los usuarios ni los proveedores verán nuevos requerimientos. La especificación apunta a clarificar y definir reglas en áreas como virtualización o autenticación. El estándar será actualizado cada tres años y la próxima versión será la 3.0.
Aunque no aparecen mayores cambios en esta oportunidad, Jeremy King, director del PCI Security Standards Council, destaca que existen requerimientos fruto de la evolución y PCI-DSS 2.0 requerirá algunas acciones adicionales. Uno de esos requerimientos tiene que ver con la inclusión de un mecanismo que evalúa el riesgo relacionado con una vulnerabilidad, dándole un ranking.
“El Consejo incorporó un método basado en riesgo dentro del requerimiento 6.2. Es para asegurar que los procedimientos de identificación de nuevas vulnerabilidades incluyan la asignación de un ranking de riesgo para esas vulnerabilidades. Reconociendo este elemento, les proveemos a los integrantes de la cadena de pagos con un período adicional para que lo implementen en sus programas de seguridad. Hasta que se cumpla ese período, se considera como mejor práctica o recomendación,” dice King.
King enfatiza diciendo que, si un comercio electrónico alcanzó el cumplimiento de la versión anterior, PCI-DSS 1.2, no debería resultarle problemático hacer lo propio con la 2.0.
La especificación PCI-DSS 2.0 pone claridad en el uso de tecnologías de virtualización. En la versión PCI-DSS 1.2.1, se requiere solamente implementar una función primaria por servidor y eso confunde respecto al uso de máquinas virtuales. El estándar anterior no aclaraba si se podían correr dos máquinas virtuales en un mismo servidor físico. La especificación 2.0 aclara el punto y permite que varias VMs (Virtual Machines) funcionen sobre el mismo hardware, siempre que cada VM sólo realice una tarea principal o primaria.
Se espera que la virtualización pase a ser parte de la arquitectura CDE (Cardholder Data Environment) porque la clarificación de la versión 2.0 del estándar alejará temores de parte de los comerciantes electrónicos respecto al uso de virtualización. Esto podría alentar también a los proveedores de servicios cloud.
Según los expertos, todavía quedan temas que resolver respecto a virtualización. Esos temas incluyen el garantizar que todas las imágenes reciban sus patches y sean escaneadas para seguridad. En un entorno virtual dinámico, el escaneado y patcheado de imágenes de sistemas puede ser un desafío complicado.
Tecnologías emergentes como pagos móviles, tokens o encriptado end-to-end, todavía no se reflejan en PCI DSS 2.0. Según fuentes del consejo, se trabaja activamente en la creación de guías que atiendan a estos aspectos.