NL +31 (0)20 4232420 / Spain +34 607 676 354 info@fortytwo.nl

En esta serie de blogs, explicaremos los 12 requisitos de PCI DSS, discutiremos los desafíos comunes y le diremos qué tipo de evidencia se necesita para cumplir con el requisito. Nuestro blog anterior fue sobre el quinto requisito. El mismo se centra en el desarrollo de software seguro y en el mantenimiento de los sistemas y aplicaciones para el entorno de datos del titular de la tarjeta (CDE). Donde se almacenan, procesan y transmiten los datos del titular de la tarjeta (CHD).

 

Requerimiento 7 de PCI DSS: Restringir el acceso a los datos del titular de la tarjeta

 

Este requisito se centra en restringir el acceso a los datos del sistema y del titular de la tarjeta solo al personal autorizado basado en sus roles y funciones, evitando así el mal manejo de los mismos, ya sea por torpeza o malicia.

A continuación, explicaremos los principales desafíos y pasos que debemos considerar:

  1. Define access needs
    Como primer paso debe definir las necesidades de acceso y las asignaciones de privilegios para cada rol. Luego, implementar la restricción de acceso basada en la clasificación del trabajo del personal individuamente y de la función sobre todos los sistemas y aplicaciones en el entorno PCI DSS.
  2. Document authorised users and monitor this
    Documente en un formulario la lista de privilegios específicos autorizados para cada usuario en base a su rol y use el mismo tipo de formulario para registrar cada cambio de privilegio posterior.
  3. Implement an access control system
    Para todos los sistemas en el CDE, implementar un sistema de control de acceso que restrinja el acceso según las necesidades del usuario y qué niegue el acceso que no esté específicamente permitido.

Para facilitar la gestión de los usuarios, se recomienda implementar algunas de las tecnologías de acceso centralizado conocidas para garantizar la restricción de acceso a todos los sistemas basado en roles.

¿Necesita ayuda con la implementación de PCI DSS? Nuestros QSAs pueden ayudarlo. 

Leer más sobre:
PCI DSS requerimiento 1: Protección del entorno de datos del titular de la tarjeta

PCI DSS requerimiento 2: Cambia tus valores predeterminados
PCI DSS requerimiento 3: Proteger los datos del titular de la tarjeta  
PCI DSS requerimiento 4: Proteger la transmisión de datos de titulares de tarjetas a través de redes abiertas y públicas  
PCI DSS requerimiento 5: Proteger todos los sistemas contra todo tipo de malware 
PCI DSS requerimiento 6: Desarrollar software y mantener sistemas y aplicaciones seguras
PCI DSS requerimiento 7: Restringir el acceso a los datos del titular de la tarjeta 
PCI DSS requerimiento 8: Identificar y autenticar el acceso a los sistemas  
PCI DSS requerimiento 9: Restringir el acceso físico a los datos del titular de la tarjeta 
PCI DSS requerimiento 10: Supervise y rastree todos los accesos a los recursos de red y los datos del titular de la tarjeta
PCI DSS requerimiento 11: Probar regularmente los sistemas y procesos de seguridad
PCI DSS requerimiento 12: Mantener una política que aborde la seguridad de la información para todo el personal