En esta serie de blogs, explicaremos los 12 requisitos de PCI DSS, discutiremos los desafíos comunes y le diremos qué tipo de evidencia se necesita para cumplir con el requisito. Nuestro blog anterior fue sobre el quinto requisito. El mismo se centra en restringir el acceso físico a los datos del titular de la tarjeta presentes en los dispositivos del entorno de datos de tarjetas (CDE), donde se almacenan, procesan y transmiten los datos del titular de la tarjeta (CHD).

Requerimiento 10 de PCI DSS: Supervise y rastree todos los accesos a los recursos de red y los datos de tarjetas

 

Con el fin de minimizar el impacto del compromiso de los datos de tarjetas, es fundamental implementar mecanismos de registro y poder realizar un seguimiento de las actividades del usuario.

La presencia de registros en todos los entornos permite un seguimiento, alertas y análisis exhaustivos en caso de alguna incidencia.

 

Principales desafíos y pasos que debemos considerar

 

1) Es esencial contar con un sistema que vincule el acceso de los usuarios a los componentes del sistema. Por esta razón los registros de auditoría deben estar habilitados y activos para todos los componentes dentro del entorno PCI DSS. Los registros de auditoría deben incluir los siguientes eventos:

  • Todos los usuarios individuales que acceden a los datos de tarjetas.
  • Todas las acciones que fueron realizadas por una persona con privilegios de administrador o de root.
  • Cualquier acceso a los registros de auditoría.
  • Intentos de acceso lógico no válidos.
  • Mecanismos de identificación y autenticación.
  • Todos los cambios que supongan una elevación de privilegios.
  • Todos los cambios, adiciones o eliminaciones sobre cualquier cuenta con privilegios de administrador o de root.
  • Inicialización, parada o pausa de los registros de auditoría.
  • Creación y eliminación de objetos a nivel de sistema.

2) Implementar tecnología que permita sincronizar los relojes en múltiples sistemas. Esta condición es crucial para el análisis forense en el caso de un incidente.

3) Implementar un control de acceso sobre los registros de auditoría basado en la segregación de funciones y segregación física para minimizar el riesgo de que los registros de auditoría sean modificados.

4) Realizar una copia inmediata de todos los registros en un servidor centralizado que incluya controles de acceso para no permitir su modificación.

5) Para monitorizar la integridad de los archivos que no cambian regularmente, pero cuando se modifican indican un posible compromiso, implemente sistemas de monitorización de detección de cambios que generan alertas.

6) Realizar una revisión diaria de los registros para identificar problemas potenciales o intentos de obtener acceso a sistemas sensibles.

7) Retener los registros de auditoría al menos un año, con un mínimo disponible de tres meses para su análisis inmediato.

8) Implementar un proceso formal para la detección a tiempo de alertas de fallos de sistemas críticos de control de seguridad, tales como firewalls, IDS / IPS, FIM, antivirus, controles de acceso físico, controles de acceso lógico, mecanismos de registro de auditoría.

Los registros de auditoría son muy importantes para el análisis forense de incidentes. Además, el uso de sistemas de monitorización y alertas permitirá la detección temprana de amenazas y fallos.

¿Necesita ayuda con la implementación de PCI DSS? Nuestros QSAs pueden ayudarlo. 

Leer más sobre:
PCI DSS requerimiento 1: Protección del entorno de datos del titular de la tarjeta

PCI DSS requerimiento 2: Cambia tus valores predeterminados
PCI DSS requerimiento 3: Proteger los datos del titular de la tarjeta  
PCI DSS requerimiento 4: Proteger la transmisión de datos de titulares de tarjetas a través de redes abiertas y públicas  
PCI DSS requerimiento 5: Proteger todos los sistemas contra todo tipo de malware 
PCI DSS requerimiento 6: Desarrollar software y mantener sistemas y aplicaciones seguras
PCI DSS requerimiento 7: Restringir el acceso a los datos del titular de la tarjeta 
PCI DSS requerimiento 8: Identificar y autenticar el acceso a los sistemas  
PCI DSS requerimiento 9: Restringir el acceso físico a los datos del titular de la tarjeta 
PCI DSS requerimiento 10: Supervise y rastree todos los accesos a los recursos de red y los datos del titular de la tarjeta
PCI DSS requerimiento 11: Probar regularmente los sistemas y procesos de seguridad
PCI DSS requerimiento 12: Mantener una política que aborde la seguridad de la información para todo el personal