El Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC por sus siglas en inglés) publicó esta semana la versión 2.0 del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS por sus siglas en inglés), haciendo una amplia publicación del nuevo documento, que contiene 12 cambios menores.

PCI DSS 2.0 entra en vigor el 1 de enero, pero los comercios no tendrán que cumplir totalmente con la nueva versión hasta el 31 de diciembre de 2011. La publicación de PCI DSS 2.0 también comienza un nuevo ciclo de tres años del ciclo de desarrollo. El documento no sufrirá más cambios hasta 2014.

Las normas actualizadas no introducen ningún requisito importante, de acuerdo con el consejo. La mayoría de los cambios a PCI (.pdf) son ajustes de menor importancia en el lenguaje para aclarar el significado de los requisitos. Los cambios refuerzan la necesidad de un esfuerzo profundo de definición de alcance antes de una evaluación y promover una gestión de logs más eficaz. Otros cambios amplían los requisitos de validación para la evaluación de vulnerabilidades en un entorno de comercio, dando a los comerciantes la posibilidad de utilizar las mejores prácticas de la industria para dar prioridad a las vulnerabilidades.

El nuevo documento también alinea estrechamente a PCI DSS con el Estándar de Seguridad de Datos de Aplicaciones de Pago (PA DSS por sus siglas en inglés).

En esta entrevista, Jeremy King, Director para Europa del Consejo PCI analiza los cambios con más detalle y a donde se dirige la industria.

PCI DSS 2.0 Finalizado

Un nuevo informe de Verizon Business publicado hoy muestra una correlación entre el incumplimiento con el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS por sus siglas en inglés) y las brechas de datos. Los resultados revelaron que las organizaciones que habían sufrido violaciones de datos fueron 50% más propensas a exhibir incumplimiento con PCI.

El Verizon Payment Card Industry Compliance Report, con base en las evaluaciones realizadas por QSAs de Verizon entre 2008 y 2009, contiene muy pocas sorpresas. Las compañías todavía están luchando para proteger los datos almacenados, no hacen un buen trabajo de monitoreo y vigilancia del acceso a los datos, y todavía no prueban regularmente los sistemas y procesos.

El informe también calificó las principales técnicas de ataque utilizadas para robar datos de tarjetas de pago. El acceso remoto a los sistemas a través de puertas traseras fue el ataque más común, seguido de cerca por los ataques de inyección SQL. La autenticación débil también es un problema, en particular, atacantes explotando las contraseñas predeterminadas o fácilmente adivinables para acceder a los sistemas de almacenamiento o procesamiento de datos de pago.

“Esto me frustra un poco que las inyecciones SQL, por ejemplo, siguen estando entre las tres principales técnicas de ataque. Los compromisos están aún vinculados a la programación segura y escaneo de aplicaciones web”, dijo Jen Mack, directora de servicios globales de consultoría PCI de Verizon. “Tengo que decir que no me sorprendió, y no puedo imaginar que alguien en la industria se sorprendería. Es lo que pensabamos que era el caso. Ahora tenemos estos datos para respaldarlo.”

Otra conclusión clave del informe es que el 22% de las empresas fueron encontradas en cumplimiento en el informe de cumplimiento inicial, y que el 81% de los procedimientos de prueba se cumplió en el IROC. Mack dijo que el primer número puede ser alto debido a que muchas de esas compañías podrían haber estado en cumplimiento un año antes, o fueron capaces de utilizar las seis semanas entre la evaluación inicial en sitio y el IROC para remediar cualquier problema.

“Cuando nuestros QSAs acuden al sitio, hacemos la entrevista inicial, realizamos y revisamos los procedimientos de prueba y nos vamos. El cliente sabe la situación a partir de la sesión informativa”, dijo Mack. “Con base en esta sesión, ellos pueden dar prioridad a sus no conformidades contra de su riesgo y trabajar en los elementos fuera de lugar”.

El informe también advierte que no se debe ver el 81% de los procedimientos de prueba cumplidos como un número excesivamente positivo. El informe señala que hay 250 procedimientos de prueba que forman parte de una evaluación de PCI, lo que significa que cerca de 50 no se cumplen. “Eso no es un número pequeño”, dijo el informe.

Además, el 11% de las empresas cumplieron con menos de la mitad de los requisitos, mientras que el 22% cumplieron con el 100% de los requisitos.

El informe también cubre los controles de compensación, y determinó que el Requisito 3.4, que establece que el número de cuenta primario (PAN por sus siglas en inglés) sea ilegible, es el control más compensado.

“Este requisito es compensado principalmente por los sistemas legacy,” teorizó Mack. “Este es un requisito difícil de cumplir, siempre lo ha sido. Los datos terminan en muchos más lugares de lo que inicialmente se piensa. Controlarlos es mucho más dificil. Creo que es por eso que los controles de compensación se utilizan más aquí”.

Verizon dijo que el Payment Card Industry Compliance Report sigue un modelo similar a su informe Data Breach Investigations Report.

“El objetivo es fomentar la discusión en torno a PCI”, dijo Mack. “Necesitábamos datos para hacer eso. El objetivo es presentar los datos de cumplimiento científicamente.”

BOSTON – Un número demasiado elevado de comercios tratan de lograr el cumplimiento con el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS por sus siglas en inglés) encontrando formas de aplicar controles compensatorios con partes de la norma y terminan malgastando demasiado dinero en el proceso.

Si usted piensa que el QSA es su enemigo, ha perdido la oportunidad de mejorar la seguridad en su organización”
Anton Chuvakin,
Consultor de Seguridad,
Security Warrior Consulting

“Si usted no está de acuerdo con alguna disposición específica de PCI y cree que puede hacer mejor las cosas, eso está bien, pero usted tiene que construir un caso para un control compensatorio”, dijo Anton Chuvakin, co-autor de “PCI Compliance: Understand and Implement Effective PCI Data Security Standard Compliance.”

Chuvakin, un consultor independiente enfocado en la gestión de eventos, SIEM y el cumplimiento de PCI DSS, habló sobre las formas en que los comercios pueden abordar más eficazmente los asuntos relativos a PCI DSS y lograr el cumplimiento con PCI, durante la conferencia SOURCE Boston 2010 la semana pasada. A él se unió el co-autor del libro, Branden Williams, un ex asesor de seguridad cualificado de PCI (PCI QSA) y director de consultoría de seguridad de RSA, la división de seguridad de EMC Corp.

Cuando la mayoría de los comercios comienzan a evaluar su entorno contra el estándar PCI DSS, habrá una brecha entre el entorno actual y la aplicación de controles de PCI DSS. Si la empresa va a implementar tecnologías de seguridad para cumplir con PCI DSS, entonces debe prepararse para mantenerla, Chuvakin dijo. La mayoría de las organizaciones deben entender que PCI DSS es el piso, no el techo, dijo. Las empresas deben trabajar para exceder la línea de base y garantizar que las iniciativas de cumplimiento con PCI sean un proceso continuo.

“Si usted piensa que el QSA es su enemigo, ha perdido la oportunidad de mejorar la seguridad en su organización”, dijo Chuvakin. “Después de validar el cumplimiento no se detenga. La seguridad es su objetivo, no el cumplimiento, no es pasar una auditoría.”

Las empresas tienen que ver al QSA como un socio, no como su adversario. Trabaje con un buen QSA para obtener una evaluación objetiva, dijo Williams. Es importante escoger un QSA que entienda el negocio porque “en última instancia, usted no quiere que alguien tome una decisión que afecte a su negocio”, dijo Williams.

Otras organizaciones quedan atrapadas tratando de usar los controles compensatorios como un atajo. Casi todas las empresas ponen en práctica al menos un control de compensación durante el proceso de cumplimiento con el estándar PCI DSS, pero este enfoque debe ser adoptado con cautela, dijo.

“He visto casos en que una empresa se ha estancado alrededor de seis meses trabajando en un control de compensación”, dijo Williams. “Al final, solucionar el problema habría costado $ 3 millones, pero haciendo el control de compensación el costo fue de $ 6 millones”.

Un error común entre los comercios es pensar que los bancos adquirientes requieren que el comercio conserve los datos de tarjetas de crédito durante siete años después de haberse realizado una transacción. La mayoría de las empresas pueden eliminar los datos de la tarjeta de crédito, dijo Williams.

“Se puede regresar y eliminar los datos”, dijo. “Usted no tiene que conservar un número de tarjeta de crédito durante siete años, sólo un registro de la transacción”.

Ambos expertos instaron a los asistentes a encontrar asesores experimentados y a evitar tergiversar el entorno actual de la compañía.

“Si usted trata a su QSA como un auditor, este va a hacer preguntas cerradas y no va a tener éxito”, dijo Williams. “En última instancia, el objetivo es mejorar la seguridad en general”.

El botnet Zeus, una familia de Troyanos utilizados por los ciberdelincuentes para atacar a víctimas con malware para el robo de datos, fue interrumpido temporalmente esta semana después de que el ISP sospechoso de albergar sus servidores de comando y control fuera desconectado.

Troyak.org, una empresa basada en Kazajstán, la cual alberga los servidores que controlan el malware para spam y botnets, fue desconectada temporalmente el martes. Se estima que Troyak alberga el 25% de los servidores de comando y control que se conectan a los computadores infectados por Zeus. ScanSafe, empresa que fue adquirida recientemente por Cisco Systems Inc., identificó un pico en el tráfico de malware antes del cierre, lo que indica que los controladores de los bots pudieron haber sabido con antelación sobre la interrupción de sus operaciones.

“Los datos parecen indicar que había algún tipo de advertencia previa y de ser así habrían tenido oportunidad suficiente de actualizar sus bots”, dijo Mary Landesman, investigadora senior de seguridad de ScanSafe, ahora parte de Cisco.

La interrupción de Zeus fue de corta duración. Landesman dijo que todas las conexiones que se rompieron cuando Troyak fue desconectado se restablecieron una vez que el ISP adquirió un nuevo proveedor de conectividad.

“Hemos revisado las direcciones IP y las mismas reaparecieron cuando Troyak se reconectó”, dijo.

Zeus es una amplia familia de Troyanos dotados de herramientas de ataque automatizado. El caché de 75GB descubierto el mes pasado se cree que es un sitio de descarga de hackers vinculados a las infecciones de Zeus. El caché contiene una variedad de datos sensibles, desde credenciales de cuentas bancarias hasta números de Seguro Social y contraseñas de correo electrónico.

“Está a disposición del público por lo que hay muchos segmentos de Zeus y del botnet Zeus,” dijo Landesman. “El malware abarca desde el robo de credenciales vía ataques de “phishing” hasta ataques más sofisticados contra los bancos”.

Se calcula que 1.6 millones de máquinas infectadas componen los cientos de botnets Zeus. En 2007, una pandilla de cibercriminales alemana utilizó Zeus en varios ataques a bancos europeos, resultando en el robo de 20 millones de dólares. Hoy en día, los botnets Zeus atacan a casi mil bancos, y los expertos dicen que se ha convertido en una importante plaga en el sector bancario. El troyano se utiliza para añadir campos a formularios de cuenta bancaria, drenando silenciosamente las cuentas bancarias mientras se muestra un saldo falso a las víctimas.

Algo que desconcierta a los investigadores de seguridad es cómo Troyak fue interrumpido. En un documento expedido por RSA, la División de Seguridad de EMC Corp., los investigadores dijeron que el proveedor de conectividad podría haber sido cerrado por las autoridades o por sus propios operadores. El nombre “Troyak”, según el documento, es la jerga Rusa para “Troya”, un indicio más de que Troyak.org puede no ser un negocio legítimo.

“La inactividad de la AS-Troyak puede ser el resultado de una falla técnica, aunque este es el escenario menos probable, dado que las operaciones maliciosas de este tipo generalmente no tienen un único punto de falla”, según el informe de RSA.

El incidente de Troyak es similar al del cierre de McColo Corp. en 2008, cuando los proveedores de conectividad dejaron de proveer acceso a la red a este proveedor de hosting. En aquel entonces los investigadores habrían pronosticado que el spam y el malware se recuperarían completamente y así fue.

“Como industria estamos tratando con mucha gente que está haciendo dinero con estas actividades criminales y hasta que dejen de ganar dinero o sus clientes comiencen a incurrir en costos debido a las interrupciones, habrá poca motivación para que ellos hagan lo correcto,” dijo Landesman. “Para muchos de estos grupos, este es el medio más viable para ellos ganarse la vida.”

En un intento de actualizar sus productos y servicios de Gestión de Información y Eventos de Seguridad (SIEM por sus siglas en inglés), Trustwave Inc. anunció ayer la adquisición de Intellitactics Inc., un proveedor de tecnología SIEM. Los términos del acuerdo son confidenciales.

Trustwave, la empresa de servicios de cumplimiento y Asesor de Seguridad Cualificado de PCI (PCI QSA) con sede en Chicago, destacó la importancia de la integración de las ofertas de alerta y análisis de Intellitactics con sus capacidades actuales de protección de datos.

“El futuro de la protección de datos en todos los ambientes es una solución integrada que incluye prevención de pérdida de datos para localizar todos los datos sensibles, la encriptación para protegerlos, y SIEM para proporcionar información completa,” dijo el presidente y consejero de Trustwave Robert J. McCullen en un anuncio formal sobre la fusión.

La tecnología de Gestión de Información y Eventos de Seguridad automatiza la recolección y análisis de eventos y alertas registrados en redes, sistemas y bases de datos.

Intellitactics, fundada en 1996 y con sede en Reston, VA, suscitó el interés de McCullen dada la larga trayectoria de su equipo de ingeniería y su experiencia con empresas Fortune 500 y Global 500. “Su credibilidad y experiencia con grandes clientes es enorme para nuestra base instalada”, dijo. “Es un gran salto adelante en términos de ser capaces de manejar mil millones de eventos por día”.

El acuerdo marca otra adquisición de Trustwave, quien el año pasado adquirió al proveedor de Control de Acceso a Redes (NAC por sus siglas en inglés) Mirage Networks Inc. y la compañía de DLP Vericept Corp.; por igual, el mes pasado Trustwave agregó capacidades de encriptación de datos con la adición de BitArmor Inc. Las herramientas adquiridas de seguridad de redes y protección de datos, así como sus demás soluciones de IPS, IDS y UTM, se ofrecen como productos y como servicios gestionados de seguridad, los cuales pueden ser utilizados en las actividades de evaluación de la conformidad.

Según John Kindervag, analista de Forrester Research Inc., este movimiento demuestra la intención de Trustwave de colocar los servicios en una infraestructura de nube. La adquisición, asumió Kindervag, permitiría a Trustwave convertirse en un “proveedor de nube para PCI” colocando los SIMs y sus otros servicios en un espacio multiusuario compartido, aprovechando una creciente base de clientes que ya utiliza los servicios de evaluación de Trustwave.

La adquisición es también un paso adelante para Intellitactics, que no tenía una cuota de mercado considerable, de acuerdo con Kindervag.

“[Los proveedores de Gestión de Eventos de Seguridad] tienen que ir más allá de las formas tradicionales de uso de SIEM y desarrollar nuevas formas para agregar valor de negocio a los clientes”, dijo Kindervag.

Sentinel es representante de Trustwave para la República Dominicana. A través de esta alianza Sentinel provee soluciones que permiten a empresas de todos los tamaños implantar prácticas y estándares de seguridad de datos y cumplimiento normativo alineados a las mejores prácticas de la industria; incluyendo cumplimiento de los requisitos de PCI DSS y otros estándares de seguridad de datos.

El Consejo de Estándares de Seguridad para la Industria de Tarjetas de Pago (PCI SSC, por sus siglas en inglés), bajo presión de los comerciantes para mejorar la formación de sus Evaluadores de Seguridad Calificados (QSA, por sus siglas en inglés), ha detallado planes para reforzar el proceso de revisión de certificación de los PCI QSAs, añadiendo personal y recursos financieros necesarios para mejorar la supervisión de las personas que llevan a cabo las evaluaciones de cumplimiento con el PCI Data Security Standard (DSS).

“Seguimos agregando personal a medida que el programa crece”, dijo Bob Russo, gerente general del PCI SSC. “Nos estamos asegurando de que las empresas QSA cuenten con un procedimiento interno que garantice evaluaciones precisas y oportunas”.

El consejo, una organización independiente fundada por cinco marcas de tarjetas de pago, mantiene los estándares de PCI y regula la formación y la aprobación de QSAs y Proveedores de Escaneo Aprobados (ASV, por sus siglas en inglés). Inicialmente había tres personas que revisaban cientos de evaluaciones de PCI DSS para detectar incoherencias que puede ser señal de una empresa de evaluación con problemas o desorganizada. La organización está contratando un analista de control de calidad y en la actualidad cuenta con un equipo de cinco personas para revisar las evaluaciones del QSA.

Russo no quiso decir cuánto se ha presupuestado para el programa de remediación. Dijo que la asignación presupuestaria fue una cantidad significativa del presupuesto general del Consejo de PCI y aumentaría con el tiempo.

El Consejo PCI anunció su programa de remediación de QSA en 2008 para moderar las quejas de los comerciantes sobre evaluaciones inconsistentes y, en algunos casos, de que los evaluadores certificados no parecían saber lo suficiente como para llevar a cabo una evaluación exhaustiva de PCI DSS. Desde entonces, más de una docena de empresas certificadas de evaluación han sido colocadas en remediación. Una vez en la remediación, a una empresa se le da 90 días para corregir los problemas y mejorar sus procesos. Russo dijo que la mayoría cumple y se saca de la remediación, pero “un puñado”, señaló, optó por abandonar por completo sus servicios de evaluación del PCI DSS.

“Creo que estamos haciendo lo que nos proponemos hacer y que es mejorar el proceso de evaluación y hacer que el proceso de pago sea más seguro”, dijo Russo. “He oído a los comerciantes diciendo que hay una gran diferencia entre hace dos años y ahora”.

El proceso de revisión de la evaluación se basa también en los comentarios de los comerciantes para provocar una revisión de una empresa de evaluación. Los comerciantes están obligados a llenar formularios de retroalimentación calificando las habilidades técnicas de un evaluador y el nivel de comprensión del PCI DSS. La retroalimentación también aborda la ética del QSA, en particular, si el asesor insinúa que un producto comercial o servicio en particular era necesario para el cumplimiento.

La calidad de las evaluaciones en sitio puede llegar a ser un factor aún más crítico si los comercios Nivel 2 – los que realizan entre 1 y 6 millones de transacciones por año – se ven obligados a someterse a evaluaciones en sitio. Los comercios Nivel 2 constituyen la mayor parte en la industria de pago.

A partir de junio de 2011, MasterCard, requerirá que los comercios que lleven a cabo un cuestionario de autoevaluación asistan a programas de formación de PCI DSS para comercios y aprueben un programa de acreditación del PCI SSC. La marca de tarjeta recientemente revocó una decisión controvertida de exigir a comercios de Nivel 2 llevar a cabo evaluaciones en sitio.

Además, Russo dijo que el Consejo PCI está revisando la forma en que entrenan a los evaluadores. Actualmente, los evaluadores sólo están obligados a tomar un curso de fin de semana y, a su vez suelen pasar una prueba a libro abierto. Russo dijo que el programa está siendo modificado para incluir un examen a libro cerrado, incluyendo preguntas de ensayo. La educación anual de los QSAs para la recertificación se ha formateado para ser llevado a cabo en línea.

“Hay una verificación de antecedentes y tienen que tener un cierto nivel de certificaciones de la industria de seguridad”, dijo Russo. “Ellos están obligados a pasar por la formación y obtener la recertificación cada año”.

Pero poseer la totalidad de las certificaciones de seguridad disponibles no necesariamente proporciona a un profesional de seguridad con las capacidades de auditoría necesarias para realizar una revisión exhaustiva de los sistemas de una empresa, dijo Jerry Hughes, un QSA certificado de Lighthouse Computer Services, Inc., empresa basada en Lincoln, RI.

A pesar de las preguntas de ensayo, la prueba se compone de preguntas de opción múltiple y se centra en las áreas de tecnología de la norma. Hughes dijo que las habilidades que aprendió en la realización de trabajos de auditoría para el sector bancario, la FDIC y FFIEC y para el gobierno federal ayudó a proporcionar una base sólida para hacer una mejor y más objetiva determinación de la certificación de una empresa con el estándar PCI DSS.

“Hay un montón de gente que puede entrar en una red y realizar un escaneo, pero tenemos que hacer trabajo de campo y capturar pruebas para formular una opinión”, dijo Hughes. “He visto certificaciones llevadas a cabo por otros que son francamente aterradoras, es alarmante lo que la gente aprueba”.

NDB Consultiva LLC, una firma de contabilidad con sede en Atlanta, fue solicitada con tanta frecuencia por sus clientes llevar a cabo certificaciones PCI DSS que tiene equipo de contables certificado para llevar a cabo evaluaciones de QSA. Un contador de NDB y QSA certificado que desea permanecer en el anonimato dijo que cree que la formación actual establecida por el Consejo de PCI permite a las personas llevar a cabo una evaluación a fondo, pero lo que puede estar faltando es orientación acerca de si la evaluación debe incluir cierto nivel de análisis cuantitativo y cualitativo.

Algunos profesionales de seguridad lo ven como una manera de llevar a cabo una evaluación rápida y escribir un informe, mientras que otros están tratando de apoyar sus conclusiones con datos, dijo el QSA.

“Creo que una gran cantidad de los QSAs que existen pueden ser buenos consultores; son hábiles conocedores de la tecnología, pero me pregunto si estamos haciendo lo suficiente para validar sus opiniones”, dijo el QSA. “Cuando nos falta una cantidad razonable de orientación, sé que recurrimos a los procesos tradicionales de auditoría contable y hacemos más en lugar de menos”.

La encriptación es la conversión de datos a un formato que no puede ser entendido por personas no autorizadas. La encriptación, junto con otras tecnologías de seguridad de información como Data Loss Prevention (DLP), Network Access Control (NAC), Sistemas de Detección y Prevención de intrusos (IDS, IPS), y Unified Threat Management (UTM), que ya son parte integral de la suite de seguridad de Trustwave, constituyen la base de una estrategia multi-capa efectiva para garantizar la protección continua de la información.

El núcleo de la solución BitArmor es su tecnología de Smart Tag ™, que ofrece una forma simplificada y más eficaz de cifrado debido a su enfoque sobre la protección de los datos en sí – no de los dispositivos en los cuales se guardan los datos o las redes sobre las que los datos viajan. La tecnología Smart Tag adhiere las políticas de encriptación a cada archivo o carpeta lo que resulta en lo que se denomina Persistent File Encryption (PFE). Esto asegura que los datos sólo pueden ser vistos por un usuario autorizado, independientemente de los dispositivos que se utilicen, tales como computadores desktops y portátiles, unidades USB, archivos adjuntos de correo, servidores de almacenamiento, archivos compartidos y cintas. Además, BitArmor ofrece una solución de cifrado de disco completo (Full Disk Encryption o FDE) para reducir al mínimo el riesgo de pérdida de datos en el caso de pérdida o robo de un dispositivo móvil, como un computador portátil. La tecnología de etiquetas inteligentes está disponible como servicio hospedado o no hospedado, según las preferencias de los clientes. Trustwave estará integrando esta tecnología en su tecnología actual de DLP y de seguridad de cliente con el objetivo de ofrecer una solución eficaz para descubrir y proteger los datos sensibles y lograr el cumplimiento, la protección de la privacidad y de la propiedad intelectual.

Gartner, Inc., una de las empresas líder en el mundo en investigación sobre tecnologías de la información, mencionó a BitArmor en su investigación “Cool Vendors in Infrastructure Protection” publicada en 2009, que está disponible para los clientes de Gartner o para la compra en http://www.gartner.com/DisplayDocument?ref=g_search&id=913415. BitArmor también fue recientemente nombrado como finalista en los premios de SC Magazine 2010 por Mejor Solución de Cifrado (ganadores serán anunciados en marzo).

En adición a su relevancia específica para los requisitos 3 y 4 del Estándar de Seguridad de Datos de la Industria de Tarjeta de Pago (PCI DSS, por sus siglas en inglés), las nuevas regulaciones sobre privacidad de datos a nivel estatal y federal también están aumentando la demanda de soluciones de encriptación. Si bien muchos estados han requerido la notificación pública de violaciones de datos desde hace años, la legislación reciente en Nevada y de Massachusetts exige de manera específica la encriptación de la información personal. La Ley Federal de la Tecnología de Información de la Salud para la Salud Económica y Clínica (HITECH por sus siglas en inglés), aprobada en 2009, endurece las penas para las violaciones a la Ley de responsabilidad y portabilidad de los seguros médicos (HIPAA, por sus siglas en inglés) y amplía su ámbito para incluir a cualquier empresa que procese la información personal, no sólo a las organizaciones de salud. Esto incluye a los bufetes de abogados, empresas de contabilidad y procesadores de registros, los cuales antes no estaban afectados por la legislación.

“Esta adquisición nos permite ayudar a las empresas a satisfacer las cambiantes exigencias de seguridad de datos y cumplimiento, dictadas por los estándares de la industria, tales como el estándar PCI y los reglamentos que exigen la protección de la información de identificación personal”, dijo Robert J. McCullen, presidente de Trustwave. “La integración en nuestro software de la tecnología líder en la industria de BitArmor, llamada SmartTag, mejora nuestra oferta de seguridad de cliente”.

“Satisfacer los requisitos de cumplimiento, mientras que de manera rentable se establece una estrategia de seguridad hacia el futuro es un reto fundamental para las empresas, especialmente las que históricamente no han invertido mucho en tecnologías de seguridad. La incorporación de las capacidades de encriptación de BitArmor con la tecnología de protección y descubrimiento de red y de cliente de Trustwave, así como el modelo de servicios gestionados y el más amplio portafolio está dirigido a abordar esta aguda necesidad “, dijo Steve Coplan, analista senior de la Práctica de Seguridad Empresarial del Grupo 451.

“Como organización tratando de hacer todo lo posible para proteger los datos, agregar el cifrado de BitArmor a las robustas soluciones de seguridad y cumplimiento de Trustwave sin duda tiene sentido”, dijo Matthew Stewart, Director de Seguridad de la Información en la Universidad Robert Morris.

“La encriptación se ha convertido en una tecnología crítica para el gobierno y empresas en todas las industrias, y distribuirla de manera amplia como parte de las soluciones de Trustwave traerá beneficios inmediatos para las organizaciones grandes y pequeñas”, dijo Patrick McGregor, CEO de BitArmor, que se mantendrá con la compañía. “Nuestro equipo de expertos en encriptación está muy satisfecho de formar parte del equipo de Trustwave”.

Sentinel es representante de Trustwave para la República Dominicana. A través de esta alianza Sentinel provee soluciones que permiten a empresas de todos los tamaños implantar prácticas y estándares de seguridad de datos y cumplimiento normativo alineados a las mejores prácticas de la industria; incluyendo cumplimiento de los requisitos de PCI DSS y otros estándares de seguridad de datos.

Las soluciones de prevención de pérdida de datos son mayormente utilizadas para monitorear los procesos de negocio en apoyo a los mandatos de cumplimiento, para proteger la marca y su reputación mediante la protección de los datos de clientes, la información estratégica y la propiedad intelectual contra la pérdida accidental y maliciosa. Las principales organizaciones en múltiples industrias incluyendo servicios financieros, salud, aeroespacial y defensa, manufactura, tecnología, educación y comercios utilizan las soluciones de DLP. Con DLP, se realiza una avanzada inspección del contenido de los datos en uso (por ejemplo, en los puntos extremos), los datos en movimiento (por ejemplo, la red) y datos en reposo (por ejemplo, datos almacenados) para ayudar a detectar y prevenir el uso no autorizado y la transmisión de información confidencial. DLP se utiliza también para demostrar el cumplimiento a través de múltiples normas y reglamentos, tales como el PCI DSS y HIPAA, como parte de un sistema de control de la información.

El núcleo de la solución de DLP de Vericept es su patentado Motor de Análisis de Contenido, que analiza el contenido contra la política, ayuda a detectar y clasificar los datos estructurados y no estructurados, así como la extracción de texto de cualquier tipo de archivo. Esta detección y la tecnología patentada de clasificación se extienden a los datos en movimiento para hacer frente a amenazas Web 2.0 mediante la identificación de la utilización de aplicaciones como los blogs, sitios de redes sociales y Webmail para identificar y controlar con precisión los datos sensibles. Una vez que se clasifican los datos, se pueden administrar de forma coherente de acuerdo a la política desde el momento que se crean.

En concreto, la solución de DLP de Vericept ayuda a cubrir múltiples requisitos del Payment Card Industry Data Security Standard (PCI DSS) versión 1.2. PCI DSS es el requisito de seguridad de la industria de pago con tarjeta para las entidades que procesan, transmiten y / o almacenar datos de los tarjetahabientes, que ha sido respaldado por todas las principales marcas de tarjetas – Visa Inc., MasterCard Worldwide, Discover Network, American Express y JCB. Utilizando la tecnología DLP, las empresas pueden cumplir con los siguientes siete de los 12 requisitos, fortaleciendo aún más la posición de Trustwave como un proveedor líder de servicios y soluciones de PCI DSS:

• Requisito 2: No use contraseñas de sistemas y otros parámetros de seguridad provistos por proveedores
• Requisito 3: Proteger los datos del tarjetahabiente que se encuentren almacenados
• Requisito 4: Cifrar la transmisión de datos de los tarjetahabientes por redes abiertas y públicas
• Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguras
• Requisito 8: Asignar una identificación única a cada persona con acceso a una computadora
• Requisito 9: Restringir el acceso físico a los datos de tarjetahabiente
• Requisito 10: Rastrear y monitorear todo acceso a los recursos de la red y los datos del tarjetahabiente

“Estamos muy entusiasmados de ofrecer a nuestros clientes una solución de DLP de punta que pueda administrar los datos sensibles, escalar para satisfacer las crecientes necesidades de negocio y mantener un alto rendimiento a medida que los negocios continúan en tiempo real,” dice Robert J. McCullen, Presidente de Trustwave. “La tecnología DLP de Vericept complementa nuestro actual portafolio de soluciones de seguridad que ofrecemos a nuestra base global de clientes.”

“La empresa The 451 Group piensa que las preocupaciones sobre seguridad y prevención de fuga de datos son vitales tanto para el cumplimiento regulatorio como para la seguridad de red”, dice Paul Roberts, analista senior de seguridad en The 451 Group. “La adquisición de Vericept por parte de Trustwave permite casar la experiencia de Vericept en la inspección de los flujos de datos hacia y desde los puntos extremos y en la red con el amplio portafolio de productos de seguridad y cumplimiento de Trustwave”.

Las soluciones de DLP de Vericept ayudan a los clientes a simplificar y demostrar el cumplimiento. Con categorías predefinidas que abordan específicamente el cumplimiento de normas como PCI DSS, HIPAA y GLBA, la tecnología patentada de clasificación DLP de Vericept supervisa de forma precisa los datos para garantizar el cumplimiento con la política de la empresa.

“Hemos desarrollado una tecnología DLP líder para el análisis y detección de información sensible y la mitigación del riesgo basados en los requerimientos de política. Nuestras soluciones de DLP aseguran que los datos sensibles de una empresa o su inteligencia competitiva no se pierdan o se escapen, logrando el cumplimiento y la protección del valor de la marca “, afirma Dave Parkinson, ex-Presidente de Vericept, que se convertirá en Gerente General de los servicios de seguridad de Trustwave.

Los comerciantes que necesiten ayuda para asegurar sus redes inalámbricas para cumplir con el estándar de seguridad de datos PCI ahora cuentan con una guía paso a paso.

El Consejo de Estándares de Seguridad PCI lanzó el jueves la guía de seguridad inalámbrica, desarrollada por su Grupo de Interés Especial (GIE) sobre las tecnologías inalámbricas. La Guía Inalámbrica de PCI DSS de 28 páginas analiza los requisitos aplicables de PCI DSS y proporciona recomendaciones para su aplicación.

“El propósito de esta guía es proporcionar claridad a un número de personas que lo necesitan”, dijo Doug Manchester, director de producto de seguridad de VeriFone Holdings Inc., basada en San José, California y presidente del grupo de interés especial de Inalámbrico. Por ejemplo, alguien que opera una tintorería puede fácilmente configurar una red inalámbrica, pero él / ella puede necesitar ayuda para entender la forma en que el PCI DSS aplica en esta parte, expresó.

La guía se centra en la tecnología Wi-Fi, ya que es ampliamente utilizada para transacciones de tarjetas de pago, dijo: “Wi-Fi parece ser el objetivo más urgente”. Añadió que el GIE próximamente abordará la tecnología Bluetooth, un protocolo inalámbrico que también es muy utilizado para las transacciones de tarjetas de pago.

Una prioridad fundamental para el GIE era abordar la cuestión de lo que en el ámbito de aplicación del estándar PCI en lo que se refiere a inalámbrico y lo que no está en el ámbito de aplicación, dice Manchester. Entre las recomendaciones de la guía de seguridad inalámbrica se encuentran el cambio de configuración por defecto, no depender de LANs virtuales para la segmentación de redes inalámbricas, y el mantenimiento de un inventario de hardware para garantizar que no se instalen redes inalámbricas no autorizadas. El documento incluye gráficos y diagramas de flujo.

“El objetivo aquí es facilitar el procesamiento seguro”, dijo Manchester. “La tecnología inalámbrica está aquí para quedarse y queremos dar a todos la misma oportunidad de aprovechar la tecnología.”

Más de 40 organizaciones que representan a los comerciantes, proveedores de punto de venta, bancos y empresas de seguridad de redes participaron en el GIE de inalámbrico. El PCI SSC, que gestiona el estándar de PCI, formó el pasado verano el GIE de inalámbrico. El consejo también tiene GIEs que se centran en el alcance, la virtualización, y la pre-autorización, el grupo de inalámbrico es el primero en publicar sus trabajos.

Ciberdelincuentes han explotado vulnerabilidades en redes inalámbricas para robar datos de tarjetas de crédito, poniendo de relieve la necesidad de seguridad inalámbrica. La violación en 2007 de las empresas TJX Inc., que dejó por lo menos 45,7 millones de tarjetas de crédito y débito expuestas a los posibles fraudes, involucró debilidades en las redes inalámbricas, según los investigadores. Estos descubrieron que los hackers aprovecharon un agujero en la red Wi-Fi de TJX y utilizaron una versión modificada del programa sniffer para monitorear y capturar los datos de los sistemas transaccionales de TJX. Los investigadores dijeron que TJX estaba utilizando el protocolo de encriptación Wired Equivalent Privacy (WEP), un estándar de seguridad más antiguo y vulnerable que fue sustituido por Wi-Fi Protected Access (WPA). Es compatible con el último estándar IEEE 802.11i, conocido como WPA2, que utiliza el Advanced Encryption Standard (AES).

El estándar PCI DSS v1.2 requiere que las organizaciones descontinúen el uso de WEP a más tardar el 30 de junio de 2010 y cambien a estándares de encriptación y autenticación más seguros, como el estándar IEEE 802.11i.

Roger Nebel, un auditor independiente de PCI DSS y director de seguridad estratégica de FTI Consulting Inc., una firma basada en Baltimore, Md., dijo que las recomendaciones técnicas en la guía de seguridad inalámbrica de PCI son sólidas y, en caso de aplicarse, debería mejorar la seguridad inalámbrica.

“La cuestión principal sigue siendo que la aplicación de estas recomendaciones será relativamente costosa para muchos comerciantes, ya que tendrán que sustituir la tecnología antigua que sólo soporta WEP para junio de 2010″ dijo. Los comerciantes se enfrentan con el gasto de comprar nuevos equipos y software en un apretado entorno económico, añadió.

Manchester dijo que el costo fue una de las consideraciones en la elaboración de la guía. Dijo que el documento está diseñado para ofrecer opciones como la segmentación y “no necesariamente poner la carga en el comerciante para hacer grandes inversiones en equipo”.

Un cambio reciente en los requisitos de cumplimiento de PCI de MasterCard Inc. significa que posiblemente los comercios que procesan entre uno y seis millones de transacciones anualmente tengan que invertir más tiempo y dinero para el cumplimiento con el estándar PCI.

Según las nuevas normas, los comercios nivel 2 deben contratar a un auditor de PCI autorizado (PCI QSA) para completar una evaluación onsite anual de la seguridad de los datos antes del 31 de diciembre de 2010. Anteriormente, a estos comercios sólo se les requería completar un cuestionario de autoevaluación para fines de cumplir con el Programa de Protección de Datos Web de MasterCard. El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) constituye la base de referencia para el Programa de Protección de Datos Web de MasterCard.

Los cambios se anunciaron en el boletín global de seguridad de MasterCard el 15 de junio y se distribuyó a los adquirentes y los procesadores de MasterCard, de acuerdo a Chris Monteiro, portavoz de Purchase, empresa con sede en Nueva York.

“El actual aumento de los requisitos de validación para el cumplimiento con PCI prevé una revisión independiente externa, lo que permite que haya coherencia en la aplicación e implementación de los requisitos de PCI DSS” escribió Monteiro en un correo electrónico.

MasterCard estima que menos de 2.000 comercios se verán directamente afectados por la revisión de la norma. La evaluación onsite debe ser realizada por un Auditor de Seguridad Calificado (QSA); el Consejo de Normas de Seguridad de PCI (PCI SSC) regula la formación y aprobación de los QSAs.

Diana Kelley, fundadora y socia de la firma consultora SecurityCurve, dice que las evaluaciones onsite no son baratas, los precios varían significativamente dependiendo del número de lugares que necesiten ser evaluados.

“A pesar de que va a costar dinero a los comercios de nivel 2 – y probablemente demasiado tiempo – yo creo que tiene sentido requerir pasar por una evaluación onsite independiente”, dijo. “La autoevaluación es bastante difícil. Es fácil pasar por alto algo importante en su propio ambiente”.

De hecho, cuando los QSA de VeriSign son llamados para la revisión en un cuestionario de autoevaluación (SAQ), se encuentran un montón de errores, dice Branden Williams, director de práctica de PCI en VeriSign Inc.

“Ellos simplemente no tienen la experiencia y no saben realmente cómo responder a algunas de las preguntas”, dijo. “Y puede hacer que las empresas gasten mucho más dinero en la reparación de lo que sea necesario.”

Algunos comercios están resistiéndose al cambio, dijo Williams, pero la consideró una jugada inteligente por parte de MasterCard. Muchos comercios de nivel 2 son en realidad grandes empresas, y muchos son nombres conocidos, dijo.

Visa Inc., sin embargo, no está planificando cambios de este tipo en sus requisitos de cumplimiento con PCI. En una declaración emitida el viernes, la empresa basada en San Francisco dijo que considera que su “enfoque de validación de cumplimiento proporciona a grandes comercios una mayor flexibilidad para elegir el método de validación que funciona mejor en su negocio, al mismo tiempo que impulsan a la industria de pagos hacia una mayor seguridad de los datos.

“A través de una combinación de incentivos, multas, capacitación y recursos, Visa ha creado un marco de cumplimiento basado en el riesgo que responde a las necesidades de mercado y alienta a la vigilancia permanente en la seguridad de los datos”, continuó Visa. “Obligando a todos los comercios de nivel 2 a hacer evaluaciones onsite puede introducirles potencialmente costes innecesarios en un entorno empresarial ya difícil, sin demostrar un incremento de su seguridad. Si bien Visa siempre alienta a los comercios a invertir en evaluaciones externas objetivas, la industria debe reconocer y apoyar a los comercios con capacidad y conocimiento interno para llevar a cabo auto-evaluaciones rigurosas”.

Chris Mark, CEO y presidente de la empresa de consultoría Aegenis Group Inc., también criticó el requisito añadido por MasterCard. Señaló en un post en su blog que todas las empresas involucradas en las cinco mayores violaciones han sido evaluadas o están en proceso de ser evaluadas por un QSA.

“Uno tiene que cuestionar el valor de exigir a los comercios evaluarse con un QSA cuando la evidencia anecdótica sugiere que el uso de un QSA no reduce el riesgo de una violación”, escribió.

Williams, de VeriSign, dijo que los comercios de nivel 2 deben realizar una evaluación básica de preparación con un QSA PCI para ver el grado de precisión con que han respondido al SAQ y si están trabajando en la versión más adecuada del SAQ para su negocio. El trabajo debe comenzar ahora para tener tiempo de remediación y para atender al plazo de cumplimiento, dijo.

Los nuevos requisitos de MasterCard en última instancia ponen más presión sobre el PCI SSC para centrarse en la garantía de calidad del QSA, dijo Williams. “Todo el mundo sabe que hay QSAs buenos y malos”, dijo.

El PCI SSC inició un programa de garantía de calidad para QSAs el pasado otoño e incluye en su lista a las empresas QSA que están en remediación por violar los requisitos de validación de QSA aplicables.