Hoy en día el acceder a aplicaciones y servicios Web se ha convertido en una de las acciones más habituales para cualquiera de nosotros. Cada vez es más común que se realicen transacciones de todo tipo a través de Internet, desde cosas tan sencillas como leer el periódico o buscar cualquier tipo de información, hasta transacciones más sensibles y críticas, como realizar compras por Internet, operaciones bancarias de todo tipo, pagos online, consultar la vida laborar o presentar la declaración de la Renta.

Por tanto, podemos decir con total certeza que las aplicaciones y servicios Web, y los servidores en los que estos residen se han convertido en activos críticos para cualquier organización, dado que constituyen claramente una interfaz pública de las bases de datos que guardan información sensible, por lo que la necesidad de proteger esta interfaz es tan importante como la seguridad de las propias bases de datos.

Nos encontramos por tanto con un entorno en el que por un lado se ofrece acceso a información que en muchos casos es muy sensible y crítica, y que por otro lado es pública, es decir, es accesible para cualquier usuario desde cualquier punto de la red, dado que precisamente el objetivo fundamental de las aplicaciones Web es proporcionar servicios a los usuarios, que deben poder acceder desde cualquier punto.

Evidentemente este entorno tan sensible y expuesto ha pasado a ser un blanco habitual para todo tipo de atacantes.

A todos estos problemas son especialmente sensibles las organizaciones y empresas que admiten pagos online, sean del tipo que sean: compañías dedicadas al negocio de “Retail”, comercio electrónico, venta de entradas de espectáculos y eventos de ocio, etc..

Precisamente como respuesta a estas brechas y violaciones críticas de las seguridad, robos de información, identidad y datos, y la necesidad de desarrollar un entorno en el que los consumidores puedan usar el comercio electrónico de forma segura; las cinco mayores compañías de tarjetas de crédito (Visa, MasterCard, American Express, Discover y JCB) integraron sus políticas individuales y desarrollaron el estándar “Payment Card Industry Data Security Standard” (PCI DSS). La intención del PCI DSS es crear un nivel adicional de protección para los dueños de las tarjetas de crédito, asegurando que cualquier compañía que admita estos medios de pago cumplen unos niveles de seguridad mínimos cuando almacenan, procesan y transmiten los datos e información de los usuarios contenidos en las tarjetas de crédito y medios de pago que se utilicen. Se trata por tanto de un estándar de seguridad multifacético, que incluye requisitos sobre gestión de la seguridad, políticas, procedimientos, arquitectura de red, diseño del software y otras medidas de protección igualmente críticas y fundamentales. Pretende en definitiva ayudar a cualquier organización a proteger proactivamente los datos críticos de sus clientes.

Cualquier organización que acepte pagos online mediante tarjetas de crédito debe estar completamente familiarizada con el PCI DSS. De hecho, cualquiera que acepte este tipo de medios de pago debe ser “PCI Compliant”. Desde finales de 2004 este marco para el desarrollo de procesos de seguridad – incluyendo prevención, detección y respuesta a los incidentes – ha evolucionado sin descanso.

Actualmente el núcleo del PCI DSS es un conjunto de principios y requisitos, alrededor de los cuales se organizan los elementos específicos del estándar. Consta de 12 requisitos principales agrupados en 6 categorías. Estos requisitos se presentan a continuación, detallados junto a cada una de las soluciones del portfolio de Fortinet que garantizan el cumplimiento de los mismos (ver cuadro de arriba)

De entre todas las soluciones mencionadas la más importante para cualquier organización dedicada a cualquier tipo de comercio electrónico es FortiWeb, por lo que para finalizar se van a describir con más detalle las importantísimas ventajas que esta solución aporta a la seguridad de las aplicaciones Web y de los medios de pago utilizados en éstas.

Los dos requisitos fundamentales que aplican para la seguridad relacionada con todas las aplicaciones y servicios Web (incluidas por tanto aquellas dedicadas al comercio electrónico y que por tanto admiten distintos tipos de medios de pago) son:

Requisito 6.5: Desarrollar las aplicaciones Web en base a procedimientos de desarrollo seguro con el fin de proteger contra las amenazas y ataques descritos en el OWASP Top 10. FortiWeb es capaz de proteger de forma completa las aplicaciones frente a todos los ataques del Top 10:

• Ataques de inyección de código (de cualquier tipo)
   
• Ataques de Cross Site Scripting (XSS)
   
• Ataques basados en vulnerar la autenticación y la gestión de sesiones
   
• Referencias directas inseguras a objetos
   
• Ataques de Cross-Site Request Forgery (CSRF)
   
• Aplicaciones mal configuradas o no actualizadas, servidores no actualizados y parcheados (Security Misconfiguration)
   
• Almacenamiento inseguro de datos e información sensible (Insecure Cryptographic Storage)
   
• Fallos en la restricción de acceso a URLs
   
• Insuficiente protección en el nivel de transporte
   
• Redirecciones y Forwards realizados sin la adecuada y necesaria validación
   
• Requisito 6.6: Asegurar que todas las aplicaciones Web están protegidas contra los ataques conocidos y que es posible identificar de forma continua y periódica cualquier nueva amenaza y vulnerabilidad que aparezca. FortiWeb asegura el cumplimiento de este requisito de dos formas:
   
• Mediante la funcionalidad de “Escaneo de vulnerabilidades Web” incluida por defecto en el dispositivo sin ningún coste adicional
   
• Gracias a su funcionalidad de “Firewall de aplicaciones Web”, que permite bloquear todo tipo de ataques, incluídos por supuesto aquellos que podrían comprometer información crítica relacionada con medios de pago, por ejemplo información de tarjetas de crédito