En esta serie de blogs, explicaremos los 12 requisitos de PCI DSS, discutiremos los desafíos comunes y le diremos qué tipo de evidencia se necesita para cumplir con el requisito. Nuestro blog anterior fue sobre el quinto requisito. El mismo se centra en el desarrollo de software seguro y en el mantenimiento de los sistemas y aplicaciones para el entorno de datos de tarjetas (CDE), donde se almacenan, procesan y transmiten los datos del titular de la tarjeta (CHD).
Requerimiento 7 de PCI DSS: Restringir el acceso a los datos de tarjetas
Este requisito se centra en restringir el acceso a los datos del sistema y del titular de la tarjeta al personal autorizado basado en sus roles y funciones, evitando así un uso inadecuado de los mismos, ya sea de forma accidental o malintencioada.
A continuación, explicaremos los principales desafíos y pasos que debemos considerar:
- Definir las necesidades de acceso
Como primer paso debe definir las necesidades de acceso y las asignaciones de privilegios para cada rol. Luego, implementar la restricción de acceso basada en la clasificación del trabajo del personal individuamente y de la función sobre todos los sistemas y aplicaciones del entorno PCI DSS. - Documente los usuarios autorizados
Documente en un formulario la lista de privilegios específicos autorizados para cada usuario en base a su rol y use el mismo tipo de formulario para registrar cada cambio de privilegio. - Implemente un sistema de control de acceso
Para todos los sistemas en el CDE, implementar un sistema de control de acceso que restrinja el acceso según las necesidades del usuario y qué deniegue el acceso que no esté específicamente permitido.
Para facilitar la gestión de los usuarios, se recomienda implementar algunas de las tecnologías de acceso centralizado conocidas para garantizar la restricción de acceso a todos los sistemas basado en roles.
¿Necesita ayuda con la implementación de PCI DSS? Nuestros QSAs pueden ayudarlo.
Leer más sobre:
PCI DSS requerimiento 1: Protección del entorno de datos del titular de la tarjeta
PCI DSS requerimiento 2: Cambia tus valores predeterminados
PCI DSS requerimiento 3: Proteger los datos del titular de la tarjeta
PCI DSS requerimiento 4: Proteger la transmisión de datos de titulares de tarjetas a través de redes abiertas y públicas
PCI DSS requerimiento 5: Proteger todos los sistemas contra todo tipo de malware
PCI DSS requerimiento 6: Desarrollar software y mantener sistemas y aplicaciones seguras
PCI DSS requerimiento 7: Restringir el acceso a los datos del titular de la tarjeta
PCI DSS requerimiento 8: Identificar y autenticar el acceso a los sistemas
PCI DSS requerimiento 9: Restringir el acceso físico a los datos del titular de la tarjeta
PCI DSS requerimiento 10: Supervise y rastree todos los accesos a los recursos de red y los datos del titular de la tarjeta
PCI DSS requerimiento 11: Probar regularmente los sistemas y procesos de seguridad
PCI DSS requerimiento 12: Mantener una política que aborde la seguridad de la información para todo el personal