Implicancias del marco regulatorio en los servicios de Cloud y recomendaciones sobre las mejores prácticas para las empresas que necesitan lograr cumplimiento al desplegar en la nube, basado en el modelo de riesgo compartido que le ayudarán a asegurar sus datos para la elección de soluciones y proveedores de nube de terceros.
Gobierno de los datos en la nube y el cumplimiento regulatorio
1.
2. Objetivo
• Roles y responsabilidades de cumplimiento ante los requisitos de PCI
DSS en los diferentes servicios en la nube y sus modelos de
despliegue
• Retos asociados con la validación de cumplimiento de PCI DSS en un
entorno de nube .
• Consideraciones de seguridad empresarial y técnica para el uso de
tecnologías en la nube .
• Recomendaciones para el inicio de las discusiones acerca de los
servicios de nube.
4. Comprensión del entorno
Seleccionar plataforma y estándar de
evaluación
Identificar los riesgos y
requerimientos de control
Conocer las necesidades de
aplicación para el Negocio
Modelos de servicio
7. Definiciones
Alcance de responsabilidad Cliente/Proveedor por tipo de servicio
IaaS SaaSPaaS
Datos
Software y aplicaciones de usuarios
Sistemas operativos y bases de datos
Infraestructura Virtual
Hardware e infraestructura de red
Data Center (instalaciones físicas, infraestructura de seguridad, energía)
8. Alcance del
servicio
Alcance de
responsabilidades
Alcance de los
controles
Responsabilidades en el cumplimiento
• Gestión del servicio
• Tratamiento de datos
• Gestión de registros
• Gestión de
componentes del
servicio
(Documentación y
RRHH)
MARCO
CONTRACTUAL
9. Las responsabilidades delineadas entre el Cliente y el CSP para la
gestión de los controles de PCI DSS están influenciados por un
determinado número de variables :
• Finalidad para la que el cliente está utilizando el servicio de
nube .
• Ámbito de aplicación de los requisitos de PCI DSS que el cliente
externaliza en el CSP.
• Los servicios y componentes de los procesos de ejecución que
el CSP ha validado dentro de sus propias operaciones.
• La opción de servicio que el cliente ha seleccionado para
contratar al CSP ( IaaS , PaaS o SaaS ).
• El alcance de los servicios adicionales que el CSP proporciona
al Cliente de forma proactiva para completar el cumplimiento
(por ejemplo, servicios gestionados de seguridad).
Responsabilidades en el cumplimiento
10. Responsabilidades en el cumplimiento
Requisitos PCI DSS
Ejemplo de asignación de
responsabilidad en la gestión de los
controles
IaaS SaaS PaaS
Instalar y mantener una configuración de firewall para proteger los datos del
titular
Ambos Ambos CSP
No utilizar las contraseñas por defecto provistas por los fabricantes de los
sistemas y otros parámetros de seguridad
Ambos Ambos CSP
Proteger el almacenamiento de los datos de titulares de tarjetas Ambos Ambos CSP
Codificar la transmisión de los datos de titulares de tarjetas a través de redes
públicas abiertas
Cliente Ambos CSP
Utilizar y actualizar regularmente el software antivirus y demás programas
asociados con la seguridad y software de base
Cliente Ambos CSP
Desarrollar y mantener sistemas y aplicaciones seguras Ambos Ambos Ambos
Restringir el acceso a los datos de titulares de tarjetas solo para aquellas
personas del Negocio que tienen necesidad de conocerlos
Ambos Ambos Ambos
Asignar un único ID para cada persona que tenga acceso a una computadora Ambos Ambos Ambos
Restringir el acceso físico a datos de titulares de tarjetas CSP CSP CSP
Rastrear y monitorear todo el acceso a los recursos de red y datos de titulares de
tarjetas
Ambos Ambos CSP
Probar regularmente los sistemas de seguridad y sus procesos Ambos Ambos CSP
Mantenga una política que aborde la seguridad de la información para todo el
personal
Ambos Ambos Ambos
11. IaaS
PaaS
SaaS
Espacio Físico
Proveedor Espacio Físico
Cliente
Componentes
Físicos
Componentes
Físicos
Usuario
Final
EnlacesEnlaces
Gobierno
Educación
Cumplimiento
Gestión
de Riesgo
Educación
Gestión
de Riesgo
Componentes
Virtuales
Componentes
Virtuales
Responsabilidades en el cumplimiento
12. Seguridad y Tecnología
Seguridad como Servicio ( SecaaS )
• Security Information and Event Management Implementation
Guidance
• BCDR Implementation Guidance
• Encryption Implementation Guidance
• Intrusion Management Implementation Guidance
• Security Assessments Implementation Guidance
• Email Security Implementation Guidance
• Web Security Implementation Guidance
• Data Loss Prevention Implementation Guidance
• Network Security Implementation Guidance
• Identity and Access Management Implementation Guidance
Managed Security Service Provider (MSSP)
https://cloudsecurityalliance.org/research/secaas/?r=54#_downloads
13. Seguridad y Tecnología
Segmentada
Solo para mí
No-segmentada
Compartida con otros
Servidores físicamente separados por
cliente.
La misma imagen de la aplicación en el
mismo servidor, sólo separados por el
control de acceso del SO o la App
Servidores virtualizados de dedicación
individual para un cliente en particular,
incluidos los discos virtuales
Diferentes imágenes de una aplicación en
el mismo servidor, sólo separados por el
control de acceso del SO o la App.
Entornos donde cada cliente ejecuta sus
aplicaciones en particiones lógicas
separadas y no comparten almacenamiento
en disco u otros recursos.
Datos almacenados en la misma instancia
de gestión de bases de datos.
Segmentación de ambientes
14. Seguridad y Tecnología
• Firewalls físicos y segmentación de red a nivel de infraestructura
• Los firewalls en el hipervisor y a nivel de máquinas virtuales
• Etiquetado VLAN o zonificación, además de firewalls
• Los sistemas de prevención de intrusiones en el hipervisor y/o a nivel de máquina
virtual para detectar y bloquear el tráfico no deseado
• Herramientas de prevención de pérdidas de datos en el hipervisor y/o nivel de
máquina virtual
• Controles para evitar que las comunicaciones se propaguen hacia la infraestructura
subyacente
• El aislamiento de los procesos y recursos de entornos de clientes compartidos
• Almacenamiento de datos separado para cada cliente
• Autenticación fuerte de dos factores
• La separación de funciones y la supervisión administrativa
• Registro continuo y vigilancia del tráfico perimetral, y la respuesta en tiempo real
Controles de segmentación
15. Retos para el cumplimiento
• Falta de visibilidad de la infraestructura subyacente del CSP y los
controles relacionados con la seguridad
• Poca o ninguna supervisión o control sobre almacenamiento de datos
de los tarjetahabientes
• Algunos componentes virtuales no tienen el mismo nivel de control
de acceso , registro y seguimiento que sus contrapartes físicas.
• Falta de restricciones en los límites perimetrales entre entornos de
cliente
• Puede ser difícil de reunir, correlacionar y/o archivar todos los
registros necesarios para cumplir con los requisitos de PCI DSS.
• Fallas en las herramientas de control ya que en un entorno de nube
puede ser difícil de realizar verificaciones y puede dar lugar a
resultados incompletos.
• Los grandes proveedores podrían no permitir el derecho a la
auditoría a sus clientes.
16. Consideraciones a tener en cuenta como Cliente:
• ¿Por cuánto tiempo ha estado el CSP compatible con PCI DSS ? ¿Cuándo fue su
última validación?
• ¿Qué servicios específicos y los requisitos de PCI DSS fueron incluidos en la
validación ?
• ¿Qué servicios específicos y componentes del sistema se incluyen en la validación ?
• ¿Qué procesos de servicio del CSP no se incluyeron en la validación PCI DSS ?
• ¿Cómo se asegura el CSP el cumplimiento PCI DSS por parte de los Clientes para
evitar que introduzcan componentes no compatibles con el medio ambiente o
anular los controles?
Retos para el cumplimiento
17. Gobernabilidad, Riesgo y Cumplimiento
Reingeniería
de riesgos
Actividades y controles consolidados
Tecnología y Operaciones
Proyectos y procesos funcionales
Verificación del proveedor (debida diligencia)
Acuerdos de Nivel de Servicio ( SLAs )
Planes de Continuidad del Negocio y Recuperación de Desastres
Recursos humanos
18. Extremos de responsabilidad Cliente / Proveedor
IaaS SaaSPaaS
Datos
Hardware e infraestructura de red
Data Center (instalaciones físicas, infraestructura de seguridad, energía)
Gobernabilidad, Riesgo y Cumplimiento
Gobierno
Gestión de
Riesgo
Educación Cumplimiento
Reinvertir en controles
AHORRO
19. Entorno físico
Control de Acceso
Afecta a la confidencialidad , Integridad
y Disponibilidad de los datos
Control Ambiental
Afecta al rendimiento y la integridad de
la prestación del servicio.
20. Consideraciones legales
Propiedad de los datos y los
posibles conflictos entre las
exigencias legales y reglamentarias
nacionales o internacionales
Requisitos para la registración
electrónica, la preservación y la
integridad de las pruebas, y la
custodia de datos
Procesos documentados para
responder a las peticiones
legales y Auditorías (registros
de auditoría propios y de sus
clientes)
21. Seguridad de los datos
• Adquisición de Datos (mapeo de los datos)
• Clasificación de Datos
• Almacenamiento de datos
• Gestión del ciclo de vida
• Cifrado y gestión de claves de cifrado
• Puesta fuera de servicio y eliminación
Si los procesos de seguridad de
datos no están claramente
definidos y documentados se
puede exponer negativamente la
información
Ayuda a identificar donde cada
entidad adquiere y cede los datos
y cuales son sus
responsabilidades en todo el
proceso
22. Seguridad técnica
• La evolución de las tecnologías de seguridad en virtualización
• Gestión de identidades y de acceso
• Registro y ficheros de auditoría
• Acceso Hypervisor y componentes internos
• Seguridad de interfaces y APIs
• Seguridad de Sistemas Cliente
• Control de ambientes compartidos
23. Incidentes y forencia
Incluir los procesos y los plazos
de notificación en los SLA
incluir los requisitos de notificación
entre el cliente y el proveedor en
los planes de respuesta a
incidentes
Incluir la potencial solicitud de
información, registros y
evidencias al CSP durante la
investigación
Incluir el proceso de custodia
particular para este tipo de
servicio, por ejemplo ante
desconexiones de VMs o
cualquier otro recurso virtual
25. La Guía y sus apéndices
Apéndice A: Responsabilidades PCI DSS para
diferentes modelos de servicio - Consideraciones
adicionales para ayudar a determinar las
responsabilidades de PCI DSS a través de
diferentes modelos de servicios cloud .
Apéndice B : Inventario - Presenta un inventario
modelo del sistema para entornos de cloud
computing.
Apéndice C : Matriz de Responsabilidades PCI DSS -
Presenta una matriz de muestra para documentar
cómo se asignan las responsabilidades entre el
proveedor de la nube y el cliente.
Apéndice D: Implementación PCI DSS - Propone un
conjunto inicial de preguntas que pueden ayudar a
determinar cómo los requisitos de PCI DSS se
pueden cumplir en un entorno de nube particular.
https://www.pcisecuritystandards.org/pdfs/PCI_DSS_v2_Cloud_Guidelines.pdf
26. MUCHAS GRACIAS
Fabián Descalzo
Gerente de Governance, Risk & Compliance (GRC)
fdescalzo@cybsec.com
Gobierno de los datos en la nube
para el cumplimiento PCI-DSS
Universidad del CEMA - Auditorio Principal
Buenos Aires – Argentina (2013)