PCI: El desafío para su cumplimiento PCI es uno de los estándares de seguridad más exigentes. Para adherirse a PCI DSS, las empresas deben determinar donde se guarda información de las tarjetas de crédito y si estas ubicaciones y datos son vulnerabilidades. Las redes corporativas son generalmente planas y fueron diseñados para el rendimiento y la máxima utilización de los activos y no para el cumplimiento de este estándar de seguridad. El resultado es que la información del titular de la tarjeta de crédito está dispersa por la red en diferentes lugares geográficos. En una auditoría PCI DSS, una empresa tiene la obligación de informar sobre la validez de las políticas de seguridad para proteger a los titulares de tarjetas de datos. Si los datos están dispersos en distintas zonas y en ellas hay servidores de otros servicios o incluso impresoras, dichos componentes deben de ser incluidos en la auditoría. Cuanto más grande y dispersa sea la zona en la que está los datos de las tarjetas de crédito, más difícil es la auditoría. Las fusiones empresariales, la expansión de la red de ventas, los socios de negocios, etc. han causado gran parte de esta dispersión. Las auditorías PCI DSS se centran en las zonas de la red donde se encuentra los datos de los clientes. Las empresas deberían considerar la posibilidad de aislar los hosts que contienen datos confidenciales para protegerlos, por tanto, hacer más simple la auditoría. Para cumplir con PCI, usar las viejas herramientas basadas en hardware como firewalls o routers, probablemente no son el mejor camino. Ya que son muy estáticos y son difíciles de desplegar y de gestionar en el interior de las redes. Los firewall fueron diseñados para protegernos del exterior y esta es una tara que les acompaña en su evolución. También importante es el hecho que la segmentación por hardware no puede permitir que un dispositivo pueda estar presentes en más de un segmento de la red. La gestión de los cortafuegos a través de conjuntos de reglas es un proceso difícil, lento, provocando resistencia a la adaptación y a los cambios necesarios en las redes corporativas. Si se abre un puerto para una aplicación y luego no se cierra, cuando la aplicación ya no está en uso, crea una grave responsabilidad de la seguridad. Además, no pueden garantizar la protección entre los servidores virtuales. Las VLANs son fáciles de establecer, pero son difíciles de mantener, ya que requieren cambios en los switch. Si tiene muchas VLAN y muchos servidores/clientes en cada una pronto se descontrolan requiriendo mucha labor de mantenimiento. Por no hablar de la falta de flexibilidad de esta solución en entornos virtuales donde se están instalando, y retirando inmediatamente. EpiForce se puede utilizar para crear una zona de seguridad PCI que proteja los datos de las tarjetas de crédito basándonos en el control (segmentación) del acceso y encriptación de los datos en movimiento. El resultado es que reducimos el ámbito de la auditoría PCI debido a que aunque los datos estén disperso, creamos un segmento virtual que solo es accesible por las personas y/o máquinas que tienen que gestionar la información . EpiForce puede ser utilizado como control compensatorio por las empresas que no pueden cifrar los datos en reposo. La gestión centralizada facilita la administración del sistema siendo transparente para aplicaciones, usuarios e infraestructura de red permitiendo ser desplegado en semanas, no meses. Esta diapositiva muestra una red típica y muestra cómo los Agentes EpiForce (ver iconos) se puede instalar en las máquinas que soportan la información de las tarjetas de crédito y transfieren la información en modo protegido. Una vez que los agentes están instalados, se puede establecer las políticas para ayudar a las compañías en el cumplimiento de varios requisitos PCI.
|
