Visa Europe revealed important stats about the usage of Contactless Cards. Poland, Spain and the UK use this payment methd the most, with UK usage growing by 300% year over year.
Visa Europe revealed important stats about the usage of Contactless Cards. Poland, Spain and the UK use this payment methd the most, with UK usage growing by 300% year over year.
Muchas organizaciones y profesionales de la seguridad de la información tienen dificultades para implementar el requisito 3.6.6.6 de PCI DSS, incluyendo una clara comprensión del valor que aporta.
El Requisito dice:
"3.6.6 - Si se utilizan operaciones manuales de gestión de claves criptográficas de texto claro, estas operaciones deben ser gestionadas con conocimiento dividido y control dual."
La columna de orientación de la Norma proporciona la siguiente explicación:
"El conocimiento dividido y el control dual de las llaves se utilizan para eliminar la posibilidad de que una persona tenga acceso a la llave completa. Este control es aplicable para operaciones manuales de gestión de claves, o cuando el producto de cifrado no implementa la gestión de claves. El conocimiento dividido es un método en el que dos o más personas por separado tienen componentes clave, en el que cada persona sólo conoce su propio componente clave, y los componentes clave individuales no transmiten ningún conocimiento de la clave criptográfica original. El doble control requiere que dos o más personas realicen una función, y ninguna persona puede acceder o utilizar los materiales de autenticación de otra".
Buscar que más de una persona tome posesión de la clave de descifrado de datos tiene sentido, por supuesto. Así eliminas la amenaza de que un solo empleado abandone el negocio con la llave o, lo que es peor, que se convierta en un delincuente.
Entonces, ¿cómo encaja esto con el dicho de que una cadena es tan fuerte como su eslabón más débil?
Tratemos de visualizar de una manera demasiado simplista un escenario con y sin un HSM para apreciar la diferencia que hace. Un HSM o Hardware Security Module (módulo de seguridad de hardware) es un dispositivo informático físico que protege y gestiona las claves digitales para una autenticación segura. También proporciona procesamiento criptográfico. Los módulos HSM pueden tener la forma de una tarjeta enchufable, una llave USB o un dispositivo externo que se conecta directamente a un componente informático. Uno de los atributos clave de un HSM es la capacidad de proporcionar pruebas de manipulación. Estos incluyen signos visibles de manipulación o registro y alerta. Además, se compone de una resistencia a la manipulación que dificulta la manipulación sin hacer que el HSM sea inoperable o que responda a las manipulaciones, como por ejemplo, eliminando las claves cuando se detecta una manipulación. En la industria de las tarjetas de pago específicamente, los HSM pueden proporcionar funciones que incluyen, entre otras, la generación de claves, el cifrado y la verificación de los elementos de seguridad de una tarjeta de pago, como PIN, CVV y PVV, por nombrar algunos.
En el diagrama de flujo de datos anterior, tenemos un escenario simple de comercio electrónico con 4 componentes típicos. Los datos del titular de la tarjeta (CHD) se almacenan en la base de datos del sistema y se encriptan de la siguiente manera:
Ignoremos todos los demás detalles y supongamos que estamos usando encriptación simétrica por simplicidad. El problema que el Requerimiento 3.6.6 está tratando de eliminar aquí, es el conocimiento del DEK por una sola persona dentro de la organización como resultado de generarlo, transportarlo, respaldarlo, insertarlo o simplemente acceder a él.
Una vez más, manteniendo las cosas simples, el siguiente diagrama utiliza el mismo escenario, pero esta vez incluyendo un HSM que proporciona las siguientes funciones con el fin de apoyar el control de doble clave y el requisito de gestión de clave dividida:
Tenemos un escenario de comercio electrónico simple con 4 componentes típicos donde los CHD se almacena en la base de datos del sistema pero esta vez encriptado por el HSM de la siguiente manera:
¿De momento todo bien? ¡Incorrecto! ¿Qué hay de malo con esta imagen (diagrama) y cómo se aplica aquí el principio del eslabón más débil?
Bueno, empecemos con las buenas noticias antes de llegar a las malas.
Lo que hemos logrado:
Bueno, a primera vista esto parece bastante bueno. Pero, ¿hemos reducido el riesgo y, en caso afirmativo, en cuánto? En otras palabras, tratemos de llegar a las malas noticias haciendo las siguientes 2 preguntas:
Bueno, vamos a destacar un par de suposiciones importantes, que representan las implementaciones más comunes antes de responder a estas preguntas:
Por lo tanto, una vez hechas las suposiciones anteriores, ahora podemos tratar de responder a las preguntas que planteamos:
Con estas preguntas en mente, ¿qué podemos decir sobre el riesgo y el cumplimiento?
Esta es mi conclusión:
Ya que aún estás aquí, y has leído mi opinión, ¿cuáles son tus pensamientos?
¿Estás de acuerdo o en desacuerdo? ¿Le ha resultado útil esta información? ¿Fueron claros y comprensibles los supuestos, argumentos y diagramas? ¿La longitud, el detalle y la profundidad técnica eran de calidad suficiente? ¿Disfrutarías de artículos adicionales que analicen temas controversiales, complejos o desafiantes relacionados con el riesgo y el cumplimiento? Háganoslo saber en los comentarios y pulse los botones de me gusta y comparta.
I am the COO and Director of Professional Services at Advantio.
I have been at the forefront of the Payment Card Industry starting with PCI DSS version 1.0 in 2005. Since then I have executed hundreds of assessments, delivered numerous trainings and have been a keynote speaker at industry events across Europe, the Middle East, Asia, North America and Africa empowering organizations to defend themselves against modern-day cyberattacks.
Certifications: CISSP / CISA / PCI-QSA
Copyright © 2019. All Rights Reserved. Privacy Statement. Sitemap.