11 enero 2011

PCI Forensic Investigator (PFI) - Nuevo programa de PCI SSC (yII)

Después de la última entrada en la que empezamos a analizar el nuevo programa del PCI Council, tenía pendiente comentar la guía que proporciona sobre la forma de realizar este tipo de investigaciones forenses.

En primer lugar, en cuanto a los informes que hay que elaborar:
  • Un informe preliminar del incidente (antes de 5 días).
  • Un informe final (en menos de 10 días laborales).
  • Un informe sobre los requerimientos de seguridad del PIN (en menos de 10 días laborales).
  • Un informe de estado mensual con las investigaciones realizadas y en curso.
  • Un informe anual de análisis de tendencia.
En segundo lugar, en cuanto a la realización propiamente dicha de la investigación (Apéndice A del PFI Program Guide), personalmente destacaría:
  • La adquisición de evidencias hay que realizarla in situ.
  • Las evidencias electrónicas deben ser preservadas en una plataforma adecuada para su revisión y análisis por los tribunales de justicia (si fuera necesario).
  • Verificar que los datos de titulares de tarjetas no siguen estando en riesgo y que el incidente ha sido contenido.
  • Revisar y determinar los datos de titulares en riesgo (esto significa, entre otras cosas, número y marcas de cuentas en riesgo, examinar todas las ubicaciones potenciales para determinar si se almacenan datos no permitidos - CVC2, CVV2, PIN block... -, si se ha utilizado malware para capturar los datos e identificar el marco temporal).
Y, finalmente, en relación con la gestión de las evidencias, tendríamos que considerar (Apéndice B del PFI Program Guide):
  • Disponer de políticas y procedimientos para su identificación, recopilación, gestión y mantenimiento de su integridad.
  • Contar con un área de almacenamiento segura y unas instalaciones para su análisis controladas.
  • Realizar auditorías mensuales de este proceso.
  • Controlar toda la cadena de custodia de las evidencias.
  • Mecanismos de gestión de las evidencias (inventariado, registro de actividad, etiquetado, securización, transporte...)
  • Procedimientos seguros de destrucción (utilizando estándares reconocidos como NIST, FIPS, etc.)
  • Revisión de todos los trabajos realizados.
En definitiva, me da la impresión de que es un estándar muy, muy trabajado que no pone nada fácil ser un PFI reconocido por el PCI Council... me alegra haber llegado a esta conclusión, la verdad...

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

No hay comentarios: