Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Cumplimiento de PCI DSS

RESUMEN Si su organización está sujeta a los requisitos del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), utilice esta información para comprender cómo la nube de Juniper Mist™ admite PCI DSS en los dominios por cable, inalámbrico y SD-WAN.

Introducción

PCI DSS se creó como un estándar común para proteger contra el fraude de tarjetas de crédito y datos de pago en el espacio minorista (y otras industrias, como la banca, donde se realizan pagos en línea). Al proporcionar políticas de seguridad consistentes y mejores prácticas, PCI DSS permite al personal de seguridad y a los administradores de red frustrar de manera efectiva diversas amenazas a los datos de pago. PCI DSS 3.2.1 entró en vigor para las evaluaciones en mayo de 2018.

La red es una piedra angular crítica del cumplimiento de PCI DSS, ya que es el canal principal para transmitir datos de pago. Los requisitos de PCI DSS están diseñados para garantizar que las operaciones y prácticas de seguridad de red eliminen o minimicen los riesgos conocidos. Los requisitos de PCI DSS también aseguran que la organización defina políticas, procedimientos y prácticas trazables y bien estructurados que puedan ser auditados.

La red inalámbrica, en particular, es especialmente importante para los entornos minoristas, ya que las operaciones comerciales y las tecnologías de participación digital dependen de la conectividad móvil. Los dispositivos de punto de venta, escáneres, lectores de códigos de barras, impresoras y computadoras móviles, por ejemplo, funcionan con LAN inalámbricas (WLAN) que sirven como elemento vital de las operaciones minoristas. El cumplimiento de PCI DSS para redes inalámbricas especifica dos tipos de requisitos:

  • Servicio inalámbrico de aplicación general Estos son requisitos que se aplican incluso cuando la red inalámbrica no está dentro del ámbito del Entorno de datos del titular de la tarjeta (CDE). Incluyen una fuerte segmentación de red para proteger la red CDE y seguridad contra ataques de clientes y puntos de acceso inalámbricos no autorizados o desconocidos.
  • Protección de la red inalámbrica en un CDE Estos son requisitos obligatorios para los sistemas que transmiten información de tarjetas de pago a través de tecnología inalámbrica y por cable. Además de los requisitos inalámbricos de aplicación general, imponen requisitos de seguridad adicionales para cambiar las contraseñas y configuraciones predeterminadas, usar cifrado y autenticación sólidos, actualizar regularmente el sistema con software compatible y monitorear el acceso.

PCI DSS 3.2.1 Atestación de cumplimiento (AOC)

La solución Juniper Mist ha sido evaluada por un asesor de seguridad PCI DSS independiente para cumplir con la certificación de cumplimiento (AOC) PCI DSS 3.2.1.

Seguridad en la nube

La nube de Mist está fuera del entorno de CDE, ya que no transporta ningún paquete de datos inalámbrico. En cualquier caso, Mist toma medidas adicionales para garantizar el más alto nivel de seguridad en la nube de Mist, a fin de garantizar la confidencialidad, la integridad del procesamiento y la disponibilidad, como se indica a continuación:

  • Utiliza datos en la nube SOC2 Tipo 2 / ISO 27001 / PCI.
  • Mantiene una política de seguridad de la información.
  • Utiliza firewalls de aplicaciones de red / listas de control de acceso.
  • Utiliza el sistema de detección de intrusiones (IDS) / el sistema de protección contra intrusiones (IPS).
  • Utiliza el cifrado estándar de la industria en varios niveles.
  • Ofusca los datos almacenados en la nube.
  • Integra la seguridad con los ciclos de desarrollo, y se realizan pruebas de lápiz para detectar vulnerabilidades en la red y la aplicación.
  • Realiza análisis de vulnerabilidades internos y externos programados regularmente.
  • Implementa capacitación anual de concientización sobre seguridad para todos los empleados dentro del alcance.
  • Realiza una evaluación anual de riesgos.
  • Incluye plan de respuesta a incidentes.
  • Se suscribe a una certificación de cumplimiento (AOC) anual de PCI DSS por un asesor de seguridad PCI DSS independiente.

Los siguientes esquemas se pueden implementar en un entorno de Mist para garantizar la segmentación de la red:

  • Segmentación física: Una forma de lograr la segmentación de la red es conectar los puntos de acceso inalámbricos en una red cableada que esté físicamente separada de la red CDE. Esto implicaría tener una superposición de infraestructura cableada e inalámbrica que no tenga ninguna intersección con la red cableada para el entorno CDE. En este esquema, no hay ningún firewall o conexión a Internet que se comparta entre las redes CDE y no CDE.

  • Segmentación lógica basada en VLAN: Es común usar LAN virtuales (VLAN) para segmentar las redes en subredes lógicas. Si bien es posible lograr una segmentación lógica al tener la red inalámbrica y el CDE en diferentes VLANs, esta metodología no se considera una caja fuerte sin políticas de control de acceso entre VLANs.

  • Separación de firewall: Si la WLAN está conectada al CDE, instituir un firewall entre la red inalámbrica y la red CDE es una forma aceptable de segmentación que cumple con los requisitos de PCI DSS 3.2.1.

  • Motor de políticas definidas por software: El motor de políticas WxLAN integrado de Mist se puede utilizar para aislar cualquier tráfico inalámbrico en el entorno CDE. Mist ofrece una plataforma potente cuando se trata de crear políticas para el acceso basado en roles, usuarios, aplicaciones y recursos en la red a través de su motor de políticas en línea: WxLAN. La infraestructura inalámbrica de Mist permite que las políticas se apliquen en cualquier red cableada con acceso a la LAN bloqueado para todas las WLAN configuradas en el sistema.

Para garantizar que la red inalámbrica cumpla con los requisitos de aplicación general para PCI DSS, los minoristas deben prestar especial atención a lo siguiente:

  • Dispositivos no autorizados: son AP accidentales o maliciosos en la red cableada que pueden usarse para violar redes internas con acceso a todos los recursos de red.
  • Dispositivos honeypot: son AP accidentales o maliciosos que se hacen pasar por AP sancionados que envían la baliza AP del minorista.
  • AP no conformes y no autorizados: estos rangos para puntos de acceso que pueden ser puntos de acceso sancionados pero que no cumplen con el cumplimiento ejecutan firmware antiguo sin seguridad crítica Del mismo modo, estos también pueden incluir puntos de acceso que son vecinos, así como aquellos que causan interferencia inadvertida a las operaciones inalámbricas dentro de las cuatro paredes de una tienda minorista o almacén.

El IDP inalámbrico es necesario para manejar estos dispositivos externos para monitorear el entorno de RF y aislar los puntos de acceso que no se utilizan para los datos del titular de la tarjeta. Tradicionalmente, los proveedores de WLAN han abordado los requisitos anteriores para el cumplimiento de WIDS/WIPS:

  • Tiempo parcial En este modo, los puntos de acceso, cuando no sirven a los clientes, exploran el espectro en busca de dispositivos no autorizados. Esto es casi similar a tener una solución de seguridad que solo funciona parte del tiempo, no 24×7.
  • Los puntos de acceso dedicados proporcionan monitoreo de seguridad inalámbrico las 24 horas del día×, los 7 días de la semana. Si bien esto protege la red todo el tiempo, aumenta el costo de implementación de puntos de acceso adicionales con el costo de instalación asociado de los cables PoE que se ejecutan en el IDF/MDF para encender los sensores.

Algunos proveedores usan radios de doble banda en los puntos de acceso y roban una radio dentro de un punto de acceso para la implementación del sensor, lo que genera pesadillas en la planificación del canal y una cobertura insuficiente. Algunos proveedores, aunque ofrecen una solución de punto de acceso de tres radios con una tercera radio dedicada, implementan soluciones completas de monitoreo de superposición. Estos son ortogonales al resto de la infraestructura inalámbrica y la solución de controlador. Utilizan islas aisladas de orígenes de datos, bases de datos, visualización e incluso controles separados para la configuración, el control y el aprovisionamiento de radio.

Los puntos de acceso de Mist proporcionan un escaneo continuo del espectro las 24 ×horas del día, los 7 días de la semana, junto con el acceso de cliente de 2,4 GHz, 5 GHz y 6 GHz. Esto permite a Mist escanear continuamente el espectro en busca de pícaros, honeypots, interferencias y anomalías como intentos fallidos de conexión en un sitio (que podrían ser una fuente de un ataque DDoS).

La plataforma de Mist mantiene una línea de base sobre métricas clave para todos los puntos de acceso, clientes, ubicaciones, sitios y grupos de sitios. La infraestructura basada en la IA de Mist identifica actividades inusuales en todos los niveles de la red. La plataforma de Mist puede detectar amenazas existentes y de día cero. Además, la tecnología de ubicación de Mist se puede utilizar para localizar con precisión dispositivos maliciosos o accidentales o maliciosos y proporcionar acceso a los recursos basado en la ubicación. El marco de aprendizaje automático de Mist se puede extender al análisis del comportamiento, mediante el cual las capacidades del dispositivo del cliente se pueden verificar con la línea de base "normal". Las alertas se generan cuando cambian las posturas clave, como un dispositivo cliente 4×4 que aparece como un dispositivo 2×2 o un dispositivo cliente autorizado para una ubicación de California que aparece para acceder a la red desde Nueva York.

Protección inalámbrica en el entorno de datos del titular de la tarjeta (CDE)

El segundo conjunto de requisitos se aplica a los dispositivos inalámbricos en la misma red donde se manejan los datos de la tarjeta de crédito. Mist le permite realizar un análisis PCI de las VLAN y LAN inalámbricas dentro del alcance. Le ayuda a corregir las vulnerabilidades en la red inalámbrica y a aplicar políticas en el sistema de administración inalámbrica.

Tabla 1: Cumplimiento de PCI DSS de Juniper Mist
REQUISITOS DE PCI DSS V3.1 PARA MIST INALÁMBRICO SE AJUSTA A LA PROPUESTA DE VALOR DE MIST
1.1.2 Diagrama de red actual que identifica todas las conexiones entre el entorno de datos del titular de la tarjeta y otras redes, incluidas las redes inalámbricas. El informe de escaneo PCI de Mist identifica la lista de SSID y AP inalámbricos que se conectan con el CDE.
2.1.1 Para entornos inalámbricos conectados al entorno de datos del titular de la tarjeta o que transmitan datos del titular de la tarjeta, cambie TODOS los valores predeterminados del proveedor inalámbrico en la instalación, incluidas, entre otras, las claves de cifrado inalámbrico predeterminadas, las contraseñas y las cadenas de comunidad SNMP. Mist no tiene contraseñas predeterminadas, claves de cifrado o cadenas de comunidad SNMP.
2.4 Mantener un inventario de los componentes del sistema que están dentro del alcance de PCI DSS. Mantenga un inventario de los componentes del sistema que están dentro del alcance de PCI DSS. Mist proporciona una lista de redes inalámbricas y puntos de acceso que están dentro del ámbito de PCI DSS.
4.1.1 Garantizar que las redes inalámbricas que transmiten datos del titular de la tarjeta o que estén conectadas al entorno de datos del titular de la tarjeta utilicen las mejores prácticas de la industria para implementar un cifrado sólido para la autenticación y la transmisión. Mist admite estándares de cifrado sólidos, incluidos WPA2-PSK y WPA2-Enterprise con cifrado AES. Como parte de su informe de escaneo PCI, Mist llama a cualquier cifrado débil utilizado en SSID en el ámbito del CDE.

6.2 Asegúrese de que todos los componentes del sistema y el software estén protegidos contra vulnerabilidades conocidas mediante la instalación de los parches de seguridad correspondientes suministrados por el proveedor. Instale los parches de seguridad críticos en el plazo de un mes a partir del lanzamiento.

Nota: Los parches de seguridad críticos deben identificarse de acuerdo con el proceso de clasificación de riesgos definido en el requisito 6.1.

 Mist pone a disposición el firmware más reciente publicado que incluye cualquier corrección crítica necesaria para la integridad de la red inalámbrica. Mist identifica cualquier AP que aún no se haya actualizado al firmware más reciente.
7.1 Limitar el acceso a los componentes del sistema y a los datos del titular de la tarjeta solo a aquellas personas cuyo trabajo requiera dicho acceso. El acceso a la red inalámbrica está restringido a los administradores autorizados. Todos los administradores autorizados se enumeran en el informe de análisis PCI de Mist.
7.2 Establecer un sistema (s) de control de acceso para los componentes del sistema que restrinja el acceso en función de la necesidad del usuario de conocer y esté configurado para "denegar todo" a menos que se permita específicamente. A los administradores de red de Mist se les asignan roles con un alcance de acceso limitado. La función de administrador predeterminada es Observador (solo lectura).
8.1.1 Asigne a todos los usuarios una identificación única antes de permitirles acceder a los componentes del sistema o a los datos del titular de la tarjeta. El informe de escaneo PCI de Mist identifica la lista de SSID y AP inalámbricos que se conectan con el CDE.

8.2 Además de asignar un ID único, garantice una gestión adecuada de la autenticación de usuario para usuarios no consumidores y administradores en todos los componentes del sistema empleando al menos uno de los siguientes métodos para autenticar a todos los usuarios:

• Algo que sepa, como una contraseña o frase de contraseña

• Algo que tenga, como un dispositivo simbólico o una tarjeta inteligente

• Algo que eres, como un biométrico

 Todos los administradores de Mist se autentican mediante contraseñas complejas o autenticación de dos factores (2FA).
9.1.3 Restrinja el acceso físico a los puntos de acceso, puertas de enlace, dispositivos portátiles, hardware de redes/comunicaciones y líneas de telecomunicaciones. Los puntos de acceso de Mist se pueden asegurar físicamente con la ayuda de tornillos y soportes disponibles como parte del kit de AP. La ranura de bloqueo Kensington del AP admite seguridad física adicional.
10.1 Implementar pistas de auditoría para vincular todo el acceso a los componentes del sistema a cada usuario individual. Todos los accesos al sistema, las actualizaciones y los cambios de configuración se rastrean en un registro de auditoría.
10.5.4 Escriba registros de tecnologías externas en un servidor de registros interno seguro y centralizado o en un dispositivo multimedia. Todos los registros de eventos se almacenan en servidores centralizados en la plataforma en la nube de Mist alojada en un centro de datos SOC 2 tipo 2.

11.1 Implementar procesos para verificar la presencia de AP (802.11), y detectar e identificar todos los AP autorizados y no autorizados trimestralmente.

Nota: Los métodos que se pueden utilizar en el proceso incluyen, entre otros, escaneos de redes inalámbricas, inspecciones físicas/lógicas de componentes e infraestructura del sistema, control de acceso a la red (NAC) o IDS/IPS inalámbricos. Independientemente de los métodos utilizados, deben ser suficientes para detectar e identificar dispositivos autorizados y no autorizados.

 WIDS/WIPS de Mist permite la detección de puntos de acceso autorizados y no autorizados en la red, lo que elimina la necesidad de análisis inalámbricos intensivos manualmente. Específicamente, la detección y contención de puntos de acceso no autorizados protege la red CDE de ser comprometida.

Conclusión

A medida que las organizaciones confían más en las redes inalámbricas como un habilitador clave para los servicios empresariales, PCI DSS requiere una atención cuidadosa a la seguridad WLAN.

Afortunadamente, Mist lo tiene cubierto. Al proteger las redes inalámbricas de ataques externos y garantizar que los datos transferidos en las redes CDE estén siempre seguros, la WLAN de aprendizaje de Mist es una opción segura para redes inalámbricas de misión crítica en entornos PCI. La diferencia clave en la arquitectura de Mist es cómo se han optimizado los flujos de trabajo para permitir una experiencia cohesiva para la TI de red, los equipos de operaciones de seguridad, marketing y otras líneas de negocio. Con Mist, la conectividad de la capa de acceso y las aplicaciones asociadas ahora se trata de ofrecer una experiencia completa, sorprendente y segura.