PCI DSS: SSL Requisitos de gestión de certificados

Para los equipos de TI y seguridad, el cumplimiento de las normativas ocupa el primer lugar en la lista de prioridades. Si usted es responsable de la gestión de claves y certificados en su organización, lo sabe muy bien.

PCI DSS es uno de los mandatos de cumplimiento más comunes y ampliamente adoptados. Básicamente, si su organización acepta crédito o débito como forma de pago, entonces PCI DSS se aplica a usted. La buena noticia es que la mayoría de los 12 requisitos del PCI DSS no son más que controles de seguridad de sentido común que ya debería tener implantados.

En este blog, trataremos la norma PCI DSS, cómo ha cambiado y cómo relacionar los requisitos de certificados de la norma PCI DSS SSL con sus prácticas de gestión de claves y certificados.

La Payment Card Industry Data Security Standard (PCI DSS) es un conjunto de normas y requisitos para proteger los datos sensibles de los titulares de tarjetas de crédito y transacciones y facilita la adopción generalizada de medidas coherentes de seguridad de los datos.

La norma establece una serie de requisitos técnicos y operativos para proteger los datos financieros. El objetivo de la PCI DSS es proteger los datos de los titulares de tarjetas y los datos sensibles de autenticación dondequiera que se procesen, almacenen o transmitan.

La norma PCI DSS se aplica a todas las organizaciones implicadas en el procesamiento de tarjetas de crédito, incluidos comerciantes, procesadores, adquirentes, emisores y proveedores de servicios. La norma está gestionada por un organismo independiente, conocido como PCI Security Standards Council (SSC), creado por Visa, MasterCard, American Express, Discover y JCB.

A continuación se ofrece un breve resumen de los 12 requisitos básicos de cumplimiento de la normativa PCI DSS:

El objetivo de la PCI DSS es reforzar los controles sobre los datos de los titulares de tarjetas para reducir el fraude con tarjetas de crédito. La PCI DSS proporciona una capa de protección a los emisores de tarjetas al exigir a los comerciantes que cumplan unos niveles mínimos de seguridad al almacenar, procesar y transmitir los datos de los titulares de tarjetas.

Las claves y los certificados digitales desempeñan un papel fundamental en la consecución y el mantenimiento del cumplimiento de la norma PCI DSS. Estos activos criptográficos se utilizan para proteger los datos, mantener las comunicaciones seguras y privadas y establecer la confianza entre las partes que se comunican, pero también deben protegerse y gestionarse adecuadamente para garantizar el cumplimiento de la PCI.

Desglosemos algunos de los principales requisitos de PCI DSS para la gestión de certificados SSL/TLS en su entorno.

Si no se implementan la autenticación fuerte y las comunicaciones cifradas, la información sensible operativa o de cuentas privilegiadas podría ser interceptada, por ejemplo, por un ataque man-in-the-middle. Un actor malintencionado podría entonces utilizar esta información para acceder a la red corporativa y robar o comprometer datos financieros. Para establecer una "criptografía fuerte", PCI DSS exige el uso de protocolos reconocidos por la industria con claves fuertes y gestión de claves adecuadas (véase NIST SP 800-52 y SP 800-57).

Capacidades básicas:

• Visibilidad centralizada de los puntos fuertes, algoritmos y protocolos en uso
• Flujos de trabajo basados en políticas para emitir, aprovisionar, renovar y revocar claves y certificados.
• Gestión automatizada del ciclo de vida de claves y certificados

Esta disposición hace hincapié en la visibilidad de todos los componentes del sistema, incluidas las claves y los certificados. Mantener una lista actualizada de todas las claves y certificados permite a una organización definir con precisión y eficacia el alcance de su entorno. Si no se mantiene un inventario, habrá certificados falsos, caducados y sin seguimiento. Esto provoca importantes interrupciones o, lo que es peor, fallos de seguridad. Sin embargo, la mayoría de las organizaciones desconocen cuántas claves y certificados se utilizan activamente en su red, y a menudo confían en scripts internos manuales y propensos a errores o en hojas de cálculo manuales.

Capacidades básicas:

• Detección de certificados en todos los puntos finales de la red, aplicaciones, autoridades de certificación (CA) y almacenes de claves y certificados.
• Informes y alertas sobre certificados falsos, caducados o no conformes.

Mientras que este requisito se centra en la protección basada en la red (es decir, antivirus, antimalware) para proteger las máquinas contra el malware, las campañas de malware modernas se han dirigido cada vez más a las identidades sensibles de las máquinas, como las claves SSH, SSL/TLS y los certificados de firma de código. Los ciberdelincuentes y los grupos de amenazas persistentes avanzadas (APT) aprovechan estas claves y certificados para suplantar la confianza y eludir las defensas.

Capacidades básicas:

• Supervisión continua del inventario de claves y certificados para detectar anomalías
• Políticas adecuadas de generación y almacenamiento de claves privadas
• Controles de acceso estrictos y protección de claves de firma de código basada en hardware
• Flujos de trabajo basados en políticas para la creación, implantación y rotación de claves SSH

La norma PCI DSS exige que las organizaciones restrinjan el acceso a los sistemas y a los datos de los titulares de tarjetas, lo que incluye limitar el acceso a los identificadores y credenciales de usuarios con privilegios, incluidas las claves y los certificados. La aplicación de restricciones de mínimo privilegio en el uso y acceso a sus activos criptográficos limitará el alcance de los daños causados por accesos no autorizados. Sin la protección adecuada, los atacantes pueden aprovechar claves y certificados de confianza para elevar privilegios y moverse lateralmente entre máquinas.

Capacidades básicas:

• Permisos basados en funciones para la emisión y el uso de claves y certificados
• Supervisión y corrección automatizadas de claves y certificados no autorizados

Por último, el requisito 8.6 está relacionado con la función de autenticación que proporcionan los certificados. Los certificados permiten una autenticación sencilla y potente, pero deben asignarse a una cuenta o usuario individual, no compartirse. Disponer de controles para identificar de forma exclusiva al propietario de una clave o certificado (y poner fin o cambiar la propiedad en caso de que la abandone) evitará que usuarios no autorizados obtengan acceso utilizando un mecanismo de autenticación compartido.

Capacidades básicas:

• Posibilidad de asignar y rastrear la propiedad de claves y certificados
• Posibilidad de buscar y revocar fácilmente certificados en su inventario

Tanto si está directamente implicado en la gestión de los certificados SSL/TLS como si no, es importante comprender la necesidad del cifrado web y cómo afecta a su negocio.

También es importante entender por qué los protocolos de cifrado en los que confiamos hoy serán inevitablemente inseguros en el futuro. ¿Cómo lo sabemos? Porque las vulnerabilidades de SSL y los primeros protocolos de TLS han dado lugar a numerosos exploits, como Heartbleed y POODLE. Los piratas informáticos intentan aprovecharse de estos protocolos obsoletos para infiltrarse en las redes y poner en peligro los datos confidenciales de los titulares de tarjetas.

Como resultado, los requisitos de PCI DSS para SSL/TLS han cambiado para seguir el ritmo. Aquí veremos cómo han avanzado los requisitos para la migración de SSL/TLS desde PCI DSS v3.0 a PCI DSS v3.2 en la actualidad.

Cuando la norma PCI DSS v3.0 entró en vigor el 1 de enero de 2014, el documento destacaba que "algunas implementaciones de protocolos (como SSL v2.0, SSH v1.0 y TLS 1.) tienen vulnerabilidades conocidas que un atacante puede utilizar para hacerse con el control del sistema afectado". Sin embargo, no se exigía el uso de protocolos más actualizados.

Poco después de la entrada en vigor de la norma PCI DSS v3.0, se introdujo la nueva norma PCI DSS v3.1 en abril de 2015. Un componente clave de la nueva versión eran los requisitos más estrictos en torno al uso de TLS.

La nueva versión obligaba a las organizaciones a desactivar SSL 3.0 y las versiones anteriores de TLS (1.0) antes del 30 de junio de 2016. Sin embargo, el plazo se pospuso posteriormente al 30 de junio de 2018.

La versión más reciente es PCI DSS v3.2 (a fecha de publicación de este blog). La versión 3.2 se introdujo en abril de 2016 y sustituyó oficialmente a la versión 3.1 el 1 de febrero de 2018 como norma de obligado cumplimiento.

El nuevo plazo del 30 de junio de 2018 se incluyó en PCI DSS v3.2, que exigía la migración a TLS 1.1 o posterior, con la excepción de algunos terminales de pago (PDI).

El PCI SSC ha empezado a desarrollar la versión 4.0 de la norma PCI DSS, cuya versión final se espera para mediados de 2021. Se prevé que la nueva versión sea un documento basado en resultados, cambiando el lenguaje de "debe implementar" a "el resultado es". También hará mayor hincapié en la seguridad como un proceso continuo que se integra con la postura general de seguridad y cumplimiento de una organización.

Otros cambios serán:

• Autenticación, específicamente consideración de la guía NIST MFA/contraseña.
• Mayor aplicabilidad para cifrar datos de titulares de tarjetas en redes de confianza
• Requisitos de control para tener en cuenta los avances tecnológicos
• Mayor frecuencia de las pruebas de los controles críticos

Si se pone en peligro una sola clave o certificado, se socava la confianza digital en su organización. A pesar del creciente problema, la mayoría de las organizaciones siguen utilizando scripts internos u hojas de cálculo manuales para realizar un seguimiento de sus claves y certificados. Los equipos de seguridad carecen de la visibilidad y automatización necesarias para adelantarse a posibles cortes, incidentes de seguridad y, lo que es más importante, a los requisitos de auditoría.

El problema se multiplica por el gran número de claves y certificados que existen hoy en día en la empresa, ya que los modernos entornos multicloud introducen miles más en la mezcla. Esta infraestructura híbrida también crea una mayor superficie de ataque, lo que aumenta el riesgo de que los datos de las tarjetas de crédito sean robados o se vean comprometidos.

Los enfoques tradicionales para la gestión de claves y certificados simplemente no pueden seguir el ritmo del rápido crecimiento y los cambios en estos nuevos despliegues DevOps y multi-nube. Se necesita un nuevo enfoque que permita a su organización automatizar y escalar al tiempo que mantiene un control total sobre el ciclo de vida de las claves y los certificados, independientemente de dónde se encuentren.

Un enfoque automatizado de las identidades y autorizaciones criptográficas sobre datos de tarjetas de crédito es un paso crucial para cumplir y mantener la conformidad con PCI DSS. PCI DSS hace hincapié en que el cumplimiento debe ser la estrategia de seguridad habitual de la organización.

Para que las políticas de seguridad funcionen como de costumbre, la gestión de claves y certificados totalmente automatizada es imprescindible para la provisión de cifrado de extremo a extremo en el sector financiero moderno. La automatización elimina las vulnerabilidades creadas por procesos manuales propensos a errores y que consumen mucho tiempo, y proporciona a escala. También permite una rápida corrección, para que los errores y descuidos no se conviertan en una brecha o interrupción significativa.

Descubra por qué los líderes de Fortune 500 en servicios bancarios y financieros confían en Keyfactor para respaldar sus iniciativas de cumplimiento de PCI y proporcionar PKI de extremo a extremo y automatización del ciclo de vida de los certificados.