Guía de Microsoft Entra PCI-DSS
El Consejo sobre el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI SSC) es responsable de desarrollar y promover los estándares y recursos de seguridad de datos del sector de las tarjetas de pago, incluido el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS), para garantizar la seguridad de las transacciones de pago. Para lograr el cumplimiento de la PCI, las organizaciones que usan Microsoft Entra ID pueden consultar las instrucciones de este documento. Sin embargo, es responsabilidad de las organizaciones garantizar el cumplimiento de la PCI. Sus equipos de TI, SecOps y arquitectos de soluciones son responsables de crear y mantener sistemas, productos y redes seguros que manejan, procesan y almacenan información de tarjetas de pago.
Aunque Microsoft Entra ID ayuda a cumplir algunos requisitos de control del PCI DSS y proporciona protocolos modernos de identidad y acceso para los recursos del entorno de datos de titulares de tarjetas (CDE), no debe ser el único mecanismo para proteger los datos de los titulares de tarjetas. Por lo tanto, revise este conjunto de documentos y todos los requisitos del PCI DSS para establecer un programa de seguridad completo que preserve la confianza del cliente. Para obtener una lista completa de los requisitos, visite el sitio web oficial del Consejo sobre el Estándar de Seguridad de Datos para la CPI en pcisecuritystandards.org: Sitio oficial del Consejo sobre el Estándar de Seguridad de Datos para la PCI
Requisitos de la PCI para controles
El PCI DSS v4.0 global establece una base de referencia de estándares técnicos y operativos para proteger los datos de las cuentas. "Se desarrolló para fomentar y mejorar la seguridad de los datos de las cuentas de tarjetas de pago y facilitar la adopción generalizada de medidas coherentes de seguridad de los datos, a escala mundial. Proporciona una base de referencia de requisitos técnicos y operativos diseñados para proteger datos de cuentas. Aunque está diseñado para centrarse en entornos con datos de cuentas de tarjeta de pago, el PCI DSS también se puede usar para proteger contra amenazas y proteger otros elementos en el ecosistema de pagos."
Configuración de Microsoft Entra y PCI-DSS
Este documento sirve de guía completa para los líderes técnicos y empresariales responsables de la administración de identidades y accesos (IAM) con Microsoft Entra ID de conformidad con el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS). Al seguir los requisitos clave, los procedimientos recomendados y los enfoques descritos en este documento, las organizaciones pueden reducir el ámbito, la complejidad y el riesgo de incumplimiento de la PCI, al tiempo que promueven las prácticas recomendadas de seguridad y el cumplimiento de las normativas. La guía proporcionada en este documento tiene como objetivo ayudar a las organizaciones a configurar Microsoft Entra ID de forma que cumpla los requisitos necesarios del PCI DSS y promueva prácticas eficaces de IAM.
Los líderes técnicos y empresariales pueden utilizar la siguiente guía para cumplir con las responsabilidades de la administración de identidades y accesos (IAM) con Microsoft Entra ID. Para obtener más información sobre el PCI DSS en otras cargas de trabajo de Microsoft, consulte Información general del punto de referencia de seguridad en la nube de Microsoft (v1).
Los requisitos y los procedimientos de prueba de PCI DSS constan de 12 requisitos principales que garantizan el control seguro de la información de la tarjeta de pago. Juntos, estos requisitos son un marco completo que ayuda a las organizaciones a proteger las transacciones de tarjetas de pago y a proteger los datos confidenciales de los titulares de tarjetas.
Microsoft Entra ID es un servicio de identidad empresarial que protege las aplicaciones, los sistemas y los recursos para asegurar el cumplimiento del PCI DSS. En la tabla siguiente se incluyen los requisitos principales de la PCI y los vínculos a los controles recomendados de Microsoft Entra ID para el cumplimiento del PCI DSS.
Requisitos del PCI DSS principales
Microsoft Entra ID no aborda ni cumple los requisitos 3, 4, 9 y 12 del PCI DSS, por lo que no hay artículos correspondientes. Para ver todos los requisitos, visite pcisecuritystandards.org: Sitio oficial del Consejo sobre el Estándar de Seguridad de Datos para la PCI.
Estándar de Seguridad de Datos para la PCI: Información general de alto nivel | Controles PCI-DSS recomendados por Microsoft Entra ID |
---|---|
Creación y mantenimiento de sistemas y redes seguros | 1. Instale y mantenga los controles de seguridad de red 2. Aplicar configuraciones seguras a todos los componentes del sistema |
Proteger los datos de la cuenta | 3. Proteger los datos almacenados de la cuenta 4. Proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas |
Mantenimiento de un programa de administración de vulnerabilidades | 5. Proteja todos los sistemas y redes del software malintencionado 6. Desarrollar y mantener sistemas seguros yde software |
Implementar medidas de control de acceso sólidas | 7. Restringir el acceso a los componentes del sistema y a los datos de los titulares de tarjetas de Business Need to Know 8. Identifique y autentique el acceso a los componentes del sistema 9. Restringir el acceso físico a los componentes del sistema y a los datos de los titulares de tarjetas |
Supervisión y pruebas de las redes con frecuencia | 10. Registre y supervise todo el acceso a los componentes del sistema y a los datos de los titulares de tarjetas 11. Probar la seguridad de sistemas y redes periódicamente |
Mantenimiento de una directiva de seguridad de la información | 12. Admitir la seguridad de la información con programas y directivas de la organización |
Aplicabilidad del PCI DSS
El PCI DSS se aplica a las organizaciones que almacenan, procesan o transmiten datos del titular de tarjeta (CHD) o datos de autenticación confidenciales (SAD). Estos elementos de datos, en su conjunto, se conocen como datos de la cuenta. El PCI DSS proporciona directrices de seguridad y requisitos para las organizaciones que afectan al entorno de datos del titular de tarjeta (CDE). Las entidades que protegen el CDE garantizan la confidencialidad y la seguridad de la información de pago del cliente.
El CHD consta de:
- Número de cuenta principal (PAN): un número de tarjeta de pago único (tarjetas de crédito, débito o prepago, etc.) que identifica al emisor y a la cuenta del titular de la tarjeta
- Nombre del titular de la tarjeta: el propietario de la tarjeta
- Fecha de expiración de la tarjeta: el día y el mes en que expira la tarjeta
- Código de servicio: valor de tres o cuatro dígitos en la banda magnética que sigue a la fecha de caducidad de la tarjeta de pago en los datos de seguimiento. Define los atributos del servicio, diferencia entre intercambio internacional y nacional o regional o identifica las restricciones de uso.
Los SAD hacen referencia a la información relacionada con la seguridad que se utiliza para autenticar a los titulares de tarjetas y/o autorizar transacciones con tarjetas de pago. Los SAD comprenden, pero no se limitan a:
- Datos de seguimiento completo: banda magnética o chip equivalente
- Códigos o valores de validación de tarjeta: también denominado código de validación de tarjeta (CVC) o valor (CVV). Es el valor de tres o cuatro dígitos en la parte delantera o trasera de la tarjeta de pago. También se denomina CAV2, CVC2, CVN2, CVV2 o CID, determinado por las marcas de pago participantes (PPB).
- PIN: número de identificación personal
- Bloques de PIN: representación cifrada del PIN utilizado en una transacción con tarjeta de débito o crédito. Garantiza la transmisión segura de información confidencial durante una transacción
Proteger el CDE es esencial para la seguridad y confidencialidad de la información de pago del cliente y ayuda a:
- Preservar la confianza del cliente : los clientes esperan que sus datos de pago se traten de forma segura y confidencial. Si una empresa sufre una vulneración de datos que provoque el robo de los datos de pago de un cliente, puede degradar la confianza de los clientes en la empresa y causar daños en su reputación.
- Cumplir con las regulaciones: las empresas que procesan transacciones de tarjetas de crédito deben cumplir con el PCI DSS. El incumplimiento da lugar a multas, responsabilidades legales y el consiguiente daño a la reputación.
- Mitigar riesgos financieros: las vulneraciones de datos tienen importantes repercusiones financieras, como los costes de las investigaciones forenses, los honorarios de los abogados y las indemnizaciones a los clientes afectados.
- Continuidad empresarial: las vulneraciones de datos alteran las operaciones comerciales y podrían afectar a los procesos de las transacciones con tarjetas de crédito. Este escenario podría provocar pérdidas de ingresos, interrupciones operativas y daños en la reputación.
Ámbito de auditoría de PCI
El ámbito de auditoría de PCI se refiere a los sistemas, redes y procesos de almacenamiento, procesamiento o transmisión de CHD y/o SAD. Si los datos de la cuenta se almacenan, procesan o transmiten en un entorno de nube, el PCI DSS se aplica a ese entorno y el cumplimiento normalmente implica la validación del entorno en la nube y el uso de él. Hay cinco elementos fundamentales en el ámbito de una auditoría de PCI:
- El entorno de datos de titulares de tarjetas (CDE), es decir, el área donde se almacenan, procesan o transmiten los CHD o SAD. Incluye los componentes de una organización que tocan CHD, como redes y componentes de red, bases de datos, servidores, aplicaciones y terminales de pago.
- Las personas con acceso al CDE, como empleados, contratistas y proveedores de servicios de terceros, están en el ámbito de una auditoría de PCI.
- Los procesos que implican CHD, como autorización, autenticación, cifrado y almacenamiento de datos de cuenta en cualquier formato, están dentro del ámbito de una auditoría de PCI.
- La tecnología que procesa, almacena o transmite CHD, incluido el hardware, como impresoras y dispositivos multifunción que escanean, imprimen y envían faxes, dispositivos de usuario final, como ordenadores, estaciones de trabajo portátiles, estaciones de trabajo administrativas, tabletas y dispositivos móviles, software y otros sistemas informáticos, entran en el ámbito de una auditoría de PCI.
- Los componentes del sistema, que podrían no almacenar, procesar o transmitir CHD/SAD pero que tienen conectividad sin restricciones con componentes del sistema que almacenan, procesan o transmiten CHD/SAD, o que podrían afectar a la seguridad del CDE.
Si se minimiza el ámbito de la PCI, las organizaciones pueden reducir eficazmente los efectos de los incidentes de seguridad y disminuir el riesgo de vulneración de datos. La segmentación puede ser una estrategia valiosa para reducir el tamaño del CDE de la PCI, lo que reduce los costos de cumplimiento y las ventajas generales de la organización, entre las que se incluyen, entre otras:
- Ahorro de costes: al limitar el ámbito de la auditoría, las organizaciones reducen el tiempo, los recursos y los gastos que conlleva someterse a una auditoría, lo que se traduce en un ahorro de costes.
- Reducción de la exposición a riesgos: un ámbito de auditoría de PCI más pequeño reduce los posibles riesgos asociados al procesamiento, el almacenamiento y la transmisión de datos de titulares de tarjetas. Si el número de sistemas, redes y aplicaciones sujetos a una auditoría es limitado, las organizaciones se centran en proteger sus recursos críticos y reducir su exposición al riesgo.
- Cumplimiento simplificado: la restricción del ámbito de auditoría hace que el cumplimiento del PCI DSS sea más fácil de administrar y simplificar. Los resultados son auditorías más eficaces, menos problemas de cumplimiento y un menor riesgo de incurrir en sanciones por incumplimiento.
- Posición de seguridad mejorada: con un subconjunto más reducido de sistemas y procesos, las organizaciones asignan los recursos y esfuerzos de seguridad de forma eficaz. Los resultados son una posición de seguridad más sólida, ya que los equipos de seguridad se concentran en proteger los activos críticos e identificar las vulnerabilidades de forma específica y eficaz.
Estrategias para reducir el ámbito de auditoría de PCI
La definición de una organización de su CDE determina el ámbito de auditoría de PCI. Las organizaciones documentan y comunican esta definición al evaluador de seguridad calificado (QSA) del PCI DSS que realiza la auditoría. El QSA evalúa los controles del CDE para determinar el cumplimiento. El cumplimiento de la PCI y el uso de la mitigación eficaz de riesgos ayuda a las empresas a proteger los datos personales y financieros del cliente, lo que mantiene la confianza en sus operaciones. En la sección siguiente se describen las estrategias para reducir el riesgo en el ámbito de auditoría de PCI.
Tokenización
La tokenización es una técnica de seguridad de datos. Use la tokenización para sustituir información confidencial, como números de tarjetas de crédito, por un token único almacenado y utilizado para transacciones, sin exponer datos confidenciales. Los tokens reducen el ámbito de una auditoría de PCI para los siguientes requisitos:
- Requisito 3: proteger los datos de la cuenta almacenada
- Requisito 4: proteger los datos del titular de la tarjeta con criptografía segura durante la transmisión a través de redes públicas abiertas
- Requisito 9: restringir el acceso físico a datos de los titulares de las tarjetas
- Requisito 10: registrar y supervisar todo el acceso a componentes de los sistemas y datos de titulares de tarjetas.
Al usar metodologías de procesamiento basadas en la nube, considere los riesgos pertinentes para los datos y transacciones confidenciales. Para mitigar estos riesgos, se recomienda aplicar las medidas de seguridad y los planes de contingencia pertinentes para proteger los datos y evitar interrupciones en las transacciones. Como procedimiento recomendado, utilice la tokenización de pagos como metodología para desclasificar datos y reducir potencialmente la superficie del CDE. Con la tokenización de pagos, los datos confidenciales se sustituyen por un identificador único que reduce el riesgo de robo de datos y limita la exposición de la información confidencial en el CDE.
Protección del CDE
El PCI DSS requiere que las organizaciones mantengan un CDE seguro. Con el CDE configurado de forma eficaz, las empresas pueden mitigar su exposición a riesgos y reducir los costes asociados para entornos locales y en la nube. Este enfoque ayuda a minimizar el ámbito de una auditoría de PCI, por lo que resulta más fácil y rentable demostrar el cumplimiento de la normativa.
Para configurar Microsoft Entra ID para proteger el CDE:
- Usar credenciales sin contraseña para los usuarios: Windows Hello para empresas, claves de seguridad FIDO2 y la aplicación Microsoft Authenticator
- Usar credenciales seguras para identidades de carga de trabajo: certificados e identidades administradas para recursos de Azure.
- Integrar tecnologías de acceso como VPN, Escritorio remoto y puntos de acceso de red con Microsoft Entra ID para la autenticación, si procede
- Habilitar la administración de identidades con privilegios y las revisiones de acceso para los roles de Microsoft Entra, los grupos de acceso con privilegios y los recursos de Azure
- Usar políticas de acceso condicional para aplicar los controles de los requisitos de la PCI: solidez de las credenciales y estado del dispositivo, y aplicarlos en función de la ubicación, la pertenencia a grupos, las aplicaciones y el riesgo
- Usar la autenticación moderna para cargas de trabajo de DCE
- Archivar registros de Microsoft Entra en sistemas de administración de eventos e información de seguridad (SIEM)
Cuando las aplicaciones y los recursos usan Microsoft Entra ID para la administración de identidades y accesos (IAM), los inquilinos de Microsoft Entra están dentro del ámbito de la auditoría de PCI, y la guía que aquí se presenta es aplicable. Las organizaciones deben evaluar los requisitos de aislamiento de identidades y recursos, entre cargas de trabajo PCI y no PCI, para determinar su mejor arquitectura.
Saber más
- Introducción a los entornos aislados y a la administración delegada
- Uso de la aplicación Microsoft Authenticator
- ¿Qué son las identidades administradas de recursos de Azure?
- ¿Qué son las revisiones de acceso?
- ¿Qué es el acceso condicional?
- Registros de auditoría en Microsoft Entra ID
Establecer una matriz de responsabilidades
El cumplimiento de la PCI es responsabilidad de las entidades que procesan transacciones con tarjetas de pago, entre las que se incluyen:
- Comerciantes
- Proveedores de servicios de tarjetas
- Proveedores de servicios de comerciantes
- Bancos adquirientes
- Procesadores de pago
- Emisores de tarjetas de pago
- Proveedores de hardware
Estas entidades garantizan que las transacciones de tarjetas de pago se procesan de forma segura y son compatibles con el PCI DSS. Todas las entidades implicadas en las transacciones de tarjetas de pago tienen un rol para ayudar a garantizar el cumplimiento de la PCI.
El estado de cumplimiento del PCI DSS de Azure no se traduce automáticamente en la validación del PCI DSS para los servicios que compila o hospeda en Azure. Asegúrese de que cumple los requisitos del PCI DSS.
Establecer procesos continuos para mantener el cumplimiento
Los procesos continuos implican la supervisión continua y la mejora de la posición de cumplimiento. Ventajas de los procesos continuos para mantener el cumplimiento de la PCI:
- Menor riesgo de incidentes de seguridad e incumplimiento
- Seguridad de datos mejorada
- Mejor alineación con los requisitos normativos
- Aumento de la confianza de los clientes y las partes interesadas
Con los procesos en curso, las organizaciones responden de forma eficaz a los cambios en el entorno normativo y a las amenazas de seguridad en constante evolución.
- Evaluación de riesgos: realice este proceso para identificar vulnerabilidades de datos de tarjetas de crédito y riesgos de seguridad. Identifique las amenazas potenciales, evalúe la probabilidad de que se produzcan y valore los efectos potenciales sobre la empresa.
- Formación de concienciación sobre seguridad: los empleados que manejan datos de tarjetas de crédito reciben formación periódica de concienciación sobre seguridad para aclarar la importancia de proteger los datos de los titulares de tarjetas y las medidas para hacerlo.
- Administración de vulnerabilidades: realice exámenes de vulnerabilidades regulares y pruebas de penetración para identificar los puntos débiles de red o del sistema que pueden aprovechar los atacantes.
- Supervisión y mantenimiento de las directivas de control de acceso: el acceso a los datos de las tarjetas de crédito está restringido a las personas autorizadas. Supervise los registros de acceso para identificar intentos de acceso no autorizados.
- Respuesta a incidentes: un plan de respuesta a incidentes ayuda a los equipos de seguridad a tomar medidas durante incidentes de seguridad que implican datos de tarjeta de crédito. Identifique la causa del incidente, contenga los daños y restablezca el funcionamiento normal a tiempo.
- La supervisión del cumplimiento y la auditoría se llevan a cabo para garantizar el cumplimiento continuo de los requisitos del PCI DSS. Revise los registros de seguridad, realice revisiones periódicas de las directivas y asegúrese de que los componentes del sistema están configurados y se mantienen de forma correcta.
Implantar una seguridad sólida para las infraestructuras compartidas
Normalmente, los servicios web como Azure tienen una infraestructura compartida en la que los datos de los clientes pueden almacenarse en el mismo servidor físico o dispositivo de almacenamiento de datos. Este escenario crea el riesgo de que clientes no autorizados accedan a datos que no les corresponden, y el riesgo de que actores maliciosos ataquen la infraestructura compartida. Las características de seguridad de Microsoft Entra ayudan a mitigar los riesgos asociados a la infraestructura compartida:
- Autenticación de usuarios en tecnologías de acceso a la red que admiten protocolos de autenticación modernos: red privada virtual (VPN), escritorio remoto y puntos de acceso de red.
- Directivas de control de acceso que imponen métodos de autenticación sólidos y el cumplimiento de los dispositivos en función de señales como el contexto del usuario, el dispositivo, la ubicación y el riesgo.
- El acceso condicional proporciona un plano de control basado en identidades y reúne señales para tomar decisiones y aplicar directivas organizativas.
- Gobernanza de rol con privilegios: revisiones de acceso, activación Just-In-Time (JIT), etc.
Para más información, vea ¿Qué es el acceso condicional?.
Residencia de datos
El PCI DSS no cita ninguna ubicación geográfica específica para el almacenamiento de datos de tarjetas de crédito. Sin embargo, requiere que los datos de los titulares de tarjetas se almacenen de forma segura, lo que puede incluir restricciones geográficas, en función de los requisitos normativos y de seguridad de la organización. Cada país y región tiene su propia legislación sobre protección de datos y privacidad. Consulte con un asesor jurídico o de cumplimiento para determinar los requisitos de residencia de datos aplicables.
Más información: Microsoft Entra ID y residencia de datos
Riesgos de seguridad de terceros
Un proveedor de terceros que no cumpla la PCI supone un riesgo para el cumplimiento de dicha normativa. Evalúe y supervise periódicamente a terceros proveedores y prestadores de servicios para asegurarse de que mantienen los controles necesarios para proteger los datos de los titulares de tarjetas.
Las características y funciones de Microsoft Entra en la residencia de datos ayudan a mitigar los riesgos asociados a la seguridad de terceros.
Registro y supervisión
Implemente un registro y una supervisión precisos para detectar incidentes de seguridad y responder a ellos a tiempo. Microsoft Entra ID ayuda a administrar el cumplimiento de la PCI con registros de auditoría y actividad, e informes que pueden integrarse con un sistema SIEM. Microsoft Entra ID cuenta con control de acceso basado en roles (RBAC) y MFA para proteger el acceso a recursos confidenciales, cifrado y funciones de protección frente a amenazas para proteger a las organizaciones de accesos no autorizados y robos de datos.
Más información:
Entornos de varias aplicaciones: host fuera del CDE
El PCI DSS garantiza que las empresas que aceptan, procesan, almacenan o transmiten información de tarjetas de crédito mantienen un entorno seguro. El hospedaje fuera del CDE presenta riesgos como:
- Un control de acceso y una administración de identidad deficientes podrían dar lugar a un acceso no autorizado a datos y sistemas confidenciales
- El registro y la supervisión insuficientes de los eventos de seguridad impiden detectar y responder a los incidentes de seguridad
- El cifrado y la protección contra amenazas insuficientes aumentan el riesgo de robo de datos y acceso no autorizado
- La escasa o nula concienciación y formación de los usuarios en materia de seguridad puede dar lugar a ataques de ingeniería social evitables, como el phishing
Pasos siguientes
Los requisitos 3, 4, 9 y 12 de PCI-DSS no son aplicables a Microsoft Entra ID, por lo que no hay artículos correspondientes. Para ver todos los requisitos, visite pcisecuritystandards.org: Sitio oficial del Consejo sobre el Estándar de Seguridad de Datos para la PCI.
Para configurar Microsoft Entra ID de modo que cumpla con el PCI DSS, consulte los siguientes artículos.
- Guía sobre PCI-DSS de Microsoft Entra (se encuentra en este punto)
- Requisito 1: instalar y mantener controles de seguridad de red
- Requisito 2: aplicar configuraciones seguras a todos los componentes del sistema
- Requisito 5: proteger todos los sistemas y redes de software malintencionado
- Requisito 6: desarrollar y mantener sistemas y programas informáticos seguros
- Requisito 7: restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad empresarial
- Requisito 8: identificar a los usuarios y autenticar el acceso a los componentes del sistema
- Requisito 10: Registrar y supervisar todo el acceso a componentes del sistema y datos de titulares de tarjetas
- Requisito 11: Probar periódicamente la seguridad de sistemas y redes
- Guía de autenticación multifactor de PCI-DSS de Microsoft Entra