Seguritecnia 359

104 SEGURITECNIA Diciembre 2009 Artículo Técnico mos implementar los controles lógicos necesarios para garantizar que sólo el personal autorizado pueda tener acceso a los datos de la tarjeta. Otra opción, y, en principio, más ade- cuada si los datos se guardan en bases de datos, es utilizar mecanismos de ci- frado de los datos residentes en ellas. Se puede optar por cifrar toda la base de datos o, por el contrario, realizar un ci- frado selectivo de determinados campos o columnas. Esta puede ser una opción válida, pero hay que tener en cuenta que también ne- cesitarán el establecimiento de contro- les lógicos adicionales, ya que en la mayo- ría de los casos los administradores de las bases de datos no se deberían contar en- tre los usuarios autorizados para acceder a los datos. No obstante, por su propia con- dición de administrador, puede resultar complejo establecer un nivel de protec- ción adecuado que nos permita cumplir debidamente con el estándar. Adecuar las tecnologías Por otro lado, si el almacenaje de los da- tos de tarjetas se realiza utilizando dife- rentes plataformas o gestores de bases de datos, nos encontraremos con la ne- cesidad de instalar y mantener diferentes tecnologías de cifrado de bases de datos para cada una de ellas. También, si los datos se transfieren o se guardan en cualquier formato externo, de- berán aplicarse nuevos métodos, controles o tecnologías, ya que el cifrado no se man- tendrá al extraer la información de la base de datos donde se haya almacenado. Para solventar estos inconvenientes, podemos realizar el cifrado en la pro- pia capa de datos; esto es, a nivel de la aplicación que guarda o lee los datos . Existen en el mercado tecnologías que, además de ofrecer las librerías y herra- mientas necesarias para que nuestras aplicaciones puedan cifrar/descifrar los datos fácilmente, se encargan de llevar a cabo toda la gestión de claves y permi- sos de accesos. Por otro lado, este tipo de tecnologías suele poder integrarse fá- cilmente con cualquier LDAP (Protocolo ligero de acceso a directorios) corpora- tivo que utilice nuestra organización. Este enfoque nos permite garantizar que los administradores de sistemas o bases de datos no sean capaces en nin- gún caso de descifrar los datos, garanti- zando, además, que el cifrado persista, con independencia del dispositivo o pla- taforma en la que residan. La indepen- dencia tecnológica, su versatilidad y es- calabilidad, así como su relativamente sencilla implementación, convierten esta opción en la más adecuada en la mayoría de las ocasiones. En cualquier caso, es conveniente ser cuidadoso y buscar el asesoramiento adecuado por parte de los expertos es- pecialistas durante el proceso de deci- sión, considerando la elección del mé- todo que mejor se adecue a cada orga- nización, con el objetivo de cumplir el estándar PCI-DSS con una inversión mí- nima y buscando siempre el mayor re- torno de la inversión posible. S A unque hace cinco años que se redactó y se publicó la ver- sión 1.0 del estándar PCI-DSS, no ha sido hasta recientemente cuando hemos empezado a notar cierta urgen- cia en la industria de nuestro país por cumplir con dicho estándar. Parece que, finalmente, tanto VISA como Mastecard han empezado a pre- sionar a las entidades bancarias para lo- grar que el cumplimiento de la PCI-DSS se generalice, y los bancos, a su vez, están trasladando dicha presión a los comercios y proveedores de servicios afectados. PCI-DSS es un modelo desarrollado e impulsado por las principales com- pañías de tarjetas que afecta a las or- ganizaciones que procesan, guardan o transmiten datos de tarjetas de crédito o débito. Los controles y medidas de seguridad que propone PCI-DSS están encamina- dos a evitar el robo o la exposición pú- blica de los datos de las tarjetas con el objetivo de prevenir cualquier tipo de fraude que pueda hacer uso ilícito de es- tos datos. Si profundizamos un poco en los re- quisitos que se han de contemplar para cumplir adecuadamente con el están- dar, una de las medidas exigidas es la de proteger los números de tarjetas alma- cenados mediante un cifrado sólido . Además, el acceso a dichos números de- berá estar controlado, no permitiéndose la manipulación de los datos sin cifrar a ningún usuario o empleado que no lo requiera por motivos de negocio. Para cumplir este requisito, podemos utilizar diferentes métodos o arquitectu- ras de cifrado. Una primera opción es utilizar cifrado a nivel de disco . El principal problema de este método reside en que debere- El cifrado de datos de tarjetas de crédito Omar Benjumea Gómez / Consultor tecnológico de Seguridad de S21sec