Aclaraciones relativas a PCI DSS

El pasado 22 de abril de 2008, el PCI SSC (Payment Card Industry Security Standards Council) ha hecho pública una nota aclaratoria sobre el cumplimiento de algunos aspectos de la norma PCI DSS (Data Security Standard).

Según la nota, se publican dos suplementos informativos que aclaran la aplicación de los requerimientos 11.3 relativo a las comprobaciones de penetración (hacking ético) y 6.6 relativo a la revisión del código o su alternativa, el uso de firewalls de nivel de aplicación.

En relación con el requerimiento 11.3, se aclara quien puede llevar a cabo este tipo de análisis de penetración, su alcance y frecuencia, su metodología y los componentes de las técnicas de comprobación.

En relación con el requerimiento 6.6 (el famoso requerimiento que entraba en vigor a finales de junio de 2008 ) se dan varias opciones a las alternativas de revisión de código y de uso de cortafuegos de nivel de aplicación.

Para la revisión de código se admite:

• Revisión manual del código fuente
• Uso adecuado de herramientas automáticas de revisión de código fuente (Analizadores)
• Asesoría sobre adaptación manual de sistemas frente a vulnerabilidades de seguridad de aplicaciones web
• Uso adecuado de herramientas automáticas de revisión de vulnerabilidades de seguridad de aplicaciones web (Analizadores)

En relación con la alternativa de uso de un cortafuegos de nivel de aplicación (WAF: Web Application Firewall), se indican las funcionalidades recomendadas de ese tipo de soluciones, las funcionalidades que dependen del entono de uso, consideraciones para las organizaciones que los implementan y fuentes de información complementarias sobre seguridad de aplicaciones web.