11 junio 2010

¿Puedo utilizar el cifrado de disco para cumplir con PCI DSS?

Pues como dirían el Council o las marcas en el 90% de los casos: "Depende" :)

El cifrado a nivel de disco se puede utilizar en varios contextos (cifrado de datos históricos o en copias de respaldo, por ejemplo) y en cada caso, el QSA deberá determinar si su utilización permite a la organización cumplir con el objetivo del estándar para dicha situación.

Normalmente, una organización se plantea utilizar el cifrado de disco para dar cumplimiento al requerimiento 3.4 del estándar: "Haga que el PAN quede, como mínimo, ilegible en cualquier lugar donde se almacene..." puesto que es más sencillo de aplicar que el cifrado a nivel de base de datos, de logs o de ficheros planos, en general.

Como norma general, hemos de tener en cuenta lo que el estańdar establece para poder dar este mecanismo como válido:
  1. Utilizar "criptografía sólida". Para los que tengan dudas sobre lo que se entiende por este concepto, la aclaración la tenemos en el Glosario de Términos que maneja el Council.
  2. Como todo mecanismo de cifrado que se utilice debe cumplir con los requerimientos 3.5 y 3.6 del estándar, a saber, protección de las claves criptográficas utilizadas para el cifrado de datos y documentación e implantación de procesos y procedimientos de gestión de claves (generación, distribución, etc.)
  3. Y, si se utiliza en lugar de un cifrado de base de datos, también cumplir con el requerimiento 3.4.1 que establece que "se debe administrar un accesológico independientemente de los mecanismos de control de acceso del sistema operativo nativo [...]. Las claves de descifrado no deben estarvinculadas a cuentas de usuarios ".
Para terminar solo quería incluir una breve reflexión sobre este último aspecto puesto que no es trivial. La excepción que incorpora el requerimiento 3.4.1 hace que los típicos sistemas para sistemas "grandes" (servidores corporativos, mainframes) que realizan el cifrado de forma transparente para el usuario y, normalmente, intercambian las claves de cifrado en el momento que se montan los discos en el sistema, a mi entender, NO podrían considerarse válidos para cumplir el objetivo del estándar.

Ahora bien, sistemas a escala puesto de trabajo que incorporan sistemas de autenticación del usuario independiente sí cumplirían con el requerimiento 3.4.1 aunque les quedaría la tarea mucho más ardua de cumplir con los requisitos 3.5 y 3.6.

No sé lo que opináis vosotr@s pero ya sabéis, para eso están los comentarios :)

Por cierto, nótese el uso de cifrar vs. encriptar...

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)