Implementación de la norma de seguridad PCI-DSS versión 3.0 sobre aplicación web ASP.NET desplegada en Azure

Abstract

[ES] El almacenamiento de datos bancarios requiere de un estricto control y seguimiento para asegurar en lo posible la integridad e inaccesibilidad de los datos sensibles. Estos requisitos se detallan en el Estándar de seguridad de datos para la industria de tarjeta de pago (PCI-DSS). El objetivo del TFG es implementar una serie de medidas que permitan superar las auditorías que certifiquen el cumplimiento de la norma PCI-DSS para la aplicación web y móvil "Pay[EN]", cuyo despliegue se lleva a cabo en Azure, infraestructura en la nube de Microsoft. Puesto que la aplicación completa del estándar implica incrementar en gran medida la envergadura del proyecto, el desarrollo de la solución contiene únicamente las siguientes tres medidas: adición de una capa de seguridad al sistema de claves de administración a través de la herramienta de seguridad "Latch", configuración del almacén de claves criptográficas de Azure y la implementación de métodos de cifrado y uso de certificados para la protección de los datos en las comunicaciones a través de redes públicas.

[CA] L’emmagatzemament de dades bancàries requerix d’un estricte control i seguiment per a assegurar en la mesura que es puga la integritat i inaccessibilitat de les dades sensibles. Estos requisits es detallen en l’Estàndard de seguretat de dades per a la indústria de targeta de pagament (PCI-DSS). L’objectiu del TFG és implementar una sèrie de mesures que permeten superar les auditories que certifiquen el compliment de la norma PCI-DSS per a l’aplicació web i mòbil "Pay[EN]", el desplegament del qual es du a terme en Azure, infraestructura en el núvol de Microsoft. Ja que l’aplicació completa de l’estàndard implica incrementar en gran manera l’envergadura del projecte, el desenrotllament de la solució conté únicament les següents tres mesures: adició d’una capa de seguretat al sistema de claus d’administració a través de la ferramenta de seguretat Latch", configuració del magatzem de claus criptogràfiques d’Azure i la implementació de mètodes de xifrat i ús de certificats per a la protecció de les dades en les comunicacions a través de xarxes públiques.

[EN] Banking data storage requires strict control and monitoring to ensure as far as possible the integrity and inaccessibility of sensitive data. These requirements are specified in Payment Card Industry Data Security Standard (PCI DSS). The aim of this DFP is to implement a series of measures for overcoming the audits to certify PCI DSS compliance for the web and mobile application Pay[EN], whose deployment is carried out in Azure, cloud infrastructure of Microsoft. Given that the complete standard implementation implies largely to increase the size of the project, the development of the solution contains only the following three issues: addition of a security layer to the key management system through the security tool Latch, configuration of Azure cryptographic keys warehouse and the implementation of encryption methods and use of certificates for the protection of data communications over public networks.