Protección de las transacciones financieras en el perímetro:

Uso de routers Robustel en aplicaciones que cumplen con la norma PCI DSS

Libro blanco: resumen ejecutivo

Breve

Todas las empresas con puntos de venta (POS) son responsables de proteger los datos confidenciales de los titulares de tarjetas. El incumplimiento de la norma PCI DSS (Payment Card Industry Data Security Standard) puede acarrear multas elevadas, daños a la reputación e incluso la pérdida de la capacidad de procesar pagos con tarjeta de crédito.

Los routers Robustel, cuando se configuran y supervisan correctamente, ofrecen las capacidades de seguridad necesarias para cumplir los requisitos de la norma PCI DSS. Con funciones como VLAN, cortafuegos con estado, filtrado IP/MAC, VPN, registro de eventos y gestión remota basada en RCMS, Robustel garantiza que los minoristas y los proveedores de servicios puedan proteger los datos de los clientes, reducir los riesgos y mantener el cumplimiento normativo en diversos entornos de implementación, desde tiendas minoristas y restaurantes hasta cajeros automáticos y puntos de venta temporales.

Lo que aprenderás
  • El papel del PCI DSS y por qué el cumplimiento es obligatorio para cualquier empresa que maneje datos de tarjetas de crédito.
  • Los requisitos básicos de PCI DSS, incluyendo reglas de firewall, autenticación fuerte, cifrado, gestión de vulnerabilidades y supervisión continua.
  • Por qué no existe tal cosa como un «enrutador compatible con PCI» y cómo el cumplimiento depende de todo el ecosistema de pagos.
  • Cómo los routers Robustel contribuyen al cumplimiento normativo mediante funciones de seguridad avanzadas, como la segmentación VLAN, el cortafuegos y las comunicaciones cifradas.
  • Pasos prácticos para la configuración y supervisión, incluyendo políticas de contraseñas, configuración del cortafuegos, aislamiento de VLAN y registro externo.

Introducción

Las empresas de puntos de venta (POS) están sujetas a requisitos estrictos en lo que respecta a la protección de la información confidencial de los clientes y de la empresa. Las instituciones financieras exigen que cualquier empresa que almacene, procese o transmita información de tarjetas de crédito cumpla con las normas PCI-DSS (Payment Card Industry, Data Security Standards).

Las empresas que incumplan estas normas estarán sujetas a multas, demandas judiciales e incluso pueden verse prohibidas de procesar tarjetas de crédito. Peor aún, las empresas que incumplan estas normas pueden acabar en los titulares de las noticias, lo que afectaría significativamente a su reputación ante clientes, socios y accionistas.

Cuando se configuran, supervisan y mantienen correctamente, los dispositivos Robustel cumplen los requisitos de PCI-DSS 3.0. Las funciones habilitadas incluyen VLAN, firewall con estado, filtrado MAC/IP/URL, autenticación/cifrado, registro de eventos, alertas de eventos, sincronización horaria y gestión de la configuración/actualización desde la plataforma RCMS.

Robustel se especializa en soluciones de conectividad de red para el mercado minorista de puntos de venta. Nuestros productos se utilizan ampliamente en varios segmentos minoristas de puntos de venta que procesan transacciones con tarjetas de crédito, entre los que se incluyen:

  • Tiendas minoristas
  • Restaurantes y bares
  • Tiendas de conveniencia
  • Cafeterías
  • Quioscos
  • cajeros automáticos
  • Ubicaciones de servicio
  • Lugares de entretenimiento y recreación
  • Eventos especiales
  • Ubicaciones temporales de máquinas expendedoras

Normas de seguridad PCI

Resumen general

El objetivo de las normas de seguridad de la industria de tarjetas de pago (PCI) es proteger los datos de los titulares de tarjetas. Las normas son desarrolladas y publicadas por el Consejo de Normas de Seguridad PCI (SSC), que está formado por cientos de participantes de la industria que tienen un interés particular en reducir las vulnerabilidades en el ecosistema de procesamiento de tarjetas.

El PCI-SSC fue fundado por las siguientes cinco marcas de pago globales:

  • American Express
  • Discovery Servicios Financieros
  • JCB Internacional
  • MasterCard Internacional
  • Visa, Inc.
Ámbito de aplicación

El PCI SSC publica las siguientes normas:

Normas de seguridad de datos PCI (DSS): Se aplican a cualquier entidad que almacene, procese y/o transmita datos de titulares de tarjetas. La norma abarca componentes técnicos y operativos incluidos en los datos de los titulares de tarjetas o relacionados con ellos. Si una empresa acepta o procesa tarjetas de pago, debe cumplir con la norma PCI DSS.

Requisitos de seguridad para transacciones con PIN (PTS): Se aplica a los fabricantes que desarrollan terminales de introducción de PIN (número de identificación personal) utilizados para transacciones financieras con tarjetas de pago.

Normas de seguridad de datos de aplicaciones de pago (PA-DSS): Se aplican a los desarrolladores de software y a los integradores de aplicaciones que almacenan, procesan o transmiten datos de titulares de tarjetas como parte de la autorización o la liquidación.

Cifrado punto a punto (P2PE): Se aplica a los comerciantes para reducir el alcance de su entorno de datos de titulares de tarjetas y las evaluaciones anuales de PCI DSS.

Cumplimiento

Los comerciantes que procesan transacciones con tarjetas de crédito son responsables de cumplir con la norma PCI-DSS. El «cumplimiento de la norma PCI» se alcanza cuando el comerciante demuestra satisfactoriamente (mediante auditorías externas o autocertificación) que todo su sistema y proceso cumple con los 12 requisitos de la norma PCI-DSS.

Requisitos

La versión 3.0 del PCI-DSS se publicó en noviembre de 2013. El PCI-DSS proporciona una base de requisitos técnicos y operativos diseñados para proteger los datos de los titulares de tarjetas. El PCI-DSS se organiza en torno a los siguientes objetivos y requisitos de alto nivel:

Objetivos

Requisitos

Crear y mantener una red y unos sistemas seguros.
  • Instalar y mantener una configuración de cortafuegos para proteger los datos de los titulares de tarjetas.
  • No utilice los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.

No utilice los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
  • Proteja los datos almacenados de los titulares de tarjetas.
  • Cifrar la transmisión de los datos de los titulares de tarjetas a través de redes públicas abiertas.

Mantener un programa de gestión de vulnerabilidades
  • Proteja todos los sistemas contra el malware y actualice periódicamente el software o los programas antivirus.
  • Desarrollar y mantener sistemas y aplicaciones seguros.

Implementar medidas estrictas de control de acceso.
  • Restringir el acceso a los datos de los titulares de tarjetas según la necesidad de conocerlos por motivos comerciales.
  • Identificar y autenticar el acceso a los componentes del sistema.
  • Restringir el acceso físico a los datos de los titulares de tarjetas.

Supervisar y comprobar periódicamente las redes.
  • Realice un seguimiento y supervise todos los accesos a los recursos de red y a los datos de los titulares de tarjetas.
  • Compruebe periódicamente los sistemas y procesos de seguridad.

Mantener una política de seguridad de la información
  • Mantener una política que aborde la seguridad de la información para todo el personal.
Certificación

Aunque las normas son impulsadas por el PCI SSC, cada institución financiera emisora de tarjetas de pago tiene su propio programa de cumplimiento. En general, el comerciante puede certificar el cumplimiento mediante un cuestionario de autoevaluación (SAQ) o a través de un evaluador cualificado, como un QSA (evaluador de seguridad cualificado) o un ASV (proveedor de escaneo aprobado).

Es responsabilidad del comerciante trabajar con la institución financiera de su tarjeta de pago para determinar qué tipo de certificación se requiere.

Recomendaciones de Robustel para el cumplimiento de la normativa PCI

Resumen general

El PCI SSC no publica ninguna norma de certificación para equipos de red que no sean terminales de introducción de PIN. Por lo tanto, no existe tal cosa como un «router compatible con PCI».

Para cumplir con la normativa PCI, el comerciante debe verificar que todo su sistema (dispositivos POS, dispositivos de red, servidores, aplicaciones, políticas y procedimientos) cumple con la normativa PCI-DSS 3.0. Como parte de ese esfuerzo general, el comerciante debe verificar que su equipo de red (incluidos los dispositivos Robustel) esté correctamente configurado y gestionado para garantizar el cumplimiento general de la normativa PCI-DSS.

Robustel no puede controlar cómo un usuario final configura y gestiona un router Robustel. Del mismo modo, Robustel no tiene ningún control sobre los demás dispositivos, servidores y aplicaciones que componen un sistema de pago con tarjeta de extremo a extremo. Por lo tanto, el comerciante solo puede obtener el cumplimiento de la normativa PCI en el contexto de todo su sistema. El comerciante también es responsable de obtener la certificación de su sistema integral por parte de un QSA (evaluador de seguridad cualificado) o un ASV (proveedor de escaneo aprobado).

Los dispositivos Robustel se utilizan en varios sistemas que cumplen con la normativa PCI. En esta sección se ofrece un resumen de las características y capacidades de Robustel que han utilizado otros clientes para ayudar a lograr el cumplimiento de la normativa PCI en sus sistemas de extremo a extremo.

Implementación de referencia

La siguiente implementación de referencia representa una topología razonablemente compleja que incluye:

  • Acceso Ethernet para dispositivos POS
  • Acceso a Ethernet y Wi-Fi para los ordenadores y las impresoras de los empleados.
  • Acceso Ethernet y Wi-Fi para otros dispositivos
  • Acceso Wi-Fi para clientes.
Recomendaciones

Wi-Fi: esta interfaz puede protegerse con cortafuegos y segmentarse como cualquier interfaz Ethernet o PPP. También admite seguridad WPA/WPA2/WEP y filtrado de direcciones MAC.

Celular: La instancia PPP celular aparece como una interfaz WAN y se puede proteger con un firewall y segmentar según sea necesario. Las interfaces también se pueden configurar para no permitir conexiones de administración.

  1. Configure el router con el firmware adecuado.
  2. Cambiar las contraseñas predeterminadas
  3. Bloquee los puntos de entrada del router.
  4. Configurar el cortafuegos
  5. Configure diferentes segmentos de red para diferentes dispositivos mediante VLAN.
  6. Configure el segmento de Wi-Fi, que es diferente del dispositivo POS.
  7. Crear una conectividad WAN segura
  8. Configurar la comunicación con un servidor SysLog externo
  9. Configurar la comunicación con un servidor de tiempo externo
  10. Supervise el uso de los dispositivos con RCMS.

Productos Robustel recomendados para aplicaciones PCI DSS

R2010

Página del producto R2010

R2011

Página del producto R2011

R1510

Página del producto R1510

R1520

Página del producto R1520

R3000

Página del producto R3000

R3000-Lite

Página del producto R3000-Lite

Asóciese con Robustel: IoT orientado al cumplimiento normativo

El cumplimiento de la normativa PCI va más allá de la tecnología: se trata de garantizar la seguridad de todas las capas de su sistema de pago. Los routers de Robustel, combinados con nuestra experiencia y nuestras implementaciones probadas en entornos minoristas, bancarios y de servicios, le dan la confianza necesaria para proteger los datos de los titulares de tarjetas sin interrumpir el funcionamiento de sus operaciones. Asóciese hoy mismo con Robustel para reforzar su estrategia de cumplimiento de la normativa PCI y proteger todas sus transacciones.