Fuente: SearchSecurity.com

Los comerciantes que necesiten ayuda para asegurar sus redes inalámbricas para cumplir con el estándar de seguridad de datos PCI ahora cuentan con una guía paso a paso.

El Consejo de Estándares de Seguridad PCI lanzó el jueves la guía de seguridad inalámbrica, desarrollada por su Grupo de Interés Especial (GIE) sobre las tecnologías inalámbricas. La Guía Inalámbrica de PCI DSS de 28 páginas analiza los requisitos aplicables de PCI DSS y proporciona recomendaciones para su aplicación.

“El propósito de esta guía es proporcionar claridad a un número de personas que lo necesitan”, dijo Doug Manchester, director de producto de seguridad de VeriFone Holdings Inc., basada en San José, California y presidente del grupo de interés especial de Inalámbrico. Por ejemplo, alguien que opera una tintorería puede fácilmente configurar una red inalámbrica, pero él / ella puede necesitar ayuda para entender la forma en que el PCI DSS aplica en esta parte, expresó.

La guía se centra en la tecnología Wi-Fi, ya que es ampliamente utilizada para transacciones de tarjetas de pago, dijo: “Wi-Fi parece ser el objetivo más urgente”. Añadió que el GIE próximamente abordará la tecnología Bluetooth, un protocolo inalámbrico que también es muy utilizado para las transacciones de tarjetas de pago.

Una prioridad fundamental para el GIE era abordar la cuestión de lo que en el ámbito de aplicación del estándar PCI en lo que se refiere a inalámbrico y lo que no está en el ámbito de aplicación, dice Manchester. Entre las recomendaciones de la guía de seguridad inalámbrica se encuentran el cambio de configuración por defecto, no depender de LANs virtuales para la segmentación de redes inalámbricas, y el mantenimiento de un inventario de hardware para garantizar que no se instalen redes inalámbricas no autorizadas. El documento incluye gráficos y diagramas de flujo.

“El objetivo aquí es facilitar el procesamiento seguro”, dijo Manchester. “La tecnología inalámbrica está aquí para quedarse y queremos dar a todos la misma oportunidad de aprovechar la tecnología.”

Más de 40 organizaciones que representan a los comerciantes, proveedores de punto de venta, bancos y empresas de seguridad de redes participaron en el GIE de inalámbrico. El PCI SSC, que gestiona el estándar de PCI, formó el pasado verano el GIE de inalámbrico. El consejo también tiene GIEs que se centran en el alcance, la virtualización, y la pre-autorización, el grupo de inalámbrico es el primero en publicar sus trabajos.

Ciberdelincuentes han explotado vulnerabilidades en redes inalámbricas para robar datos de tarjetas de crédito, poniendo de relieve la necesidad de seguridad inalámbrica. La violación en 2007 de las empresas TJX Inc., que dejó por lo menos 45,7 millones de tarjetas de crédito y débito expuestas a los posibles fraudes, involucró debilidades en las redes inalámbricas, según los investigadores. Estos descubrieron que los hackers aprovecharon un agujero en la red Wi-Fi de TJX y utilizaron una versión modificada del programa sniffer para monitorear y capturar los datos de los sistemas transaccionales de TJX. Los investigadores dijeron que TJX estaba utilizando el protocolo de encriptación Wired Equivalent Privacy (WEP), un estándar de seguridad más antiguo y vulnerable que fue sustituido por Wi-Fi Protected Access (WPA). Es compatible con el último estándar IEEE 802.11i, conocido como WPA2, que utiliza el Advanced Encryption Standard (AES).

El estándar PCI DSS v1.2 requiere que las organizaciones descontinúen el uso de WEP a más tardar el 30 de junio de 2010 y cambien a estándares de encriptación y autenticación más seguros, como el estándar IEEE 802.11i.

Roger Nebel, un auditor independiente de PCI DSS y director de seguridad estratégica de FTI Consulting Inc., una firma basada en Baltimore, Md., dijo que las recomendaciones técnicas en la guía de seguridad inalámbrica de PCI son sólidas y, en caso de aplicarse, debería mejorar la seguridad inalámbrica.

“La cuestión principal sigue siendo que la aplicación de estas recomendaciones será relativamente costosa para muchos comerciantes, ya que tendrán que sustituir la tecnología antigua que sólo soporta WEP para junio de 2010″ dijo. Los comerciantes se enfrentan con el gasto de comprar nuevos equipos y software en un apretado entorno económico, añadió.

Manchester dijo que el costo fue una de las consideraciones en la elaboración de la guía. Dijo que el documento está diseñado para ofrecer opciones como la segmentación y “no necesariamente poner la carga en el comerciante para hacer grandes inversiones en equipo”.