NL +31 (0)20 4232420 / Spain +34 607 676 354 info@fortytwo.nl

En esta serie de blogs, explicaremos los 12 requisitos de PCI DSS, discutiremos los desafíos comunes y le diremos qué tipo de evidencia se necesita para cumplir con el requisito. Nuestro blog anterior fue sobre el quinto requisito. El mismo se centra en restringir el acceso físico a los datos del titular de la tarjeta presentes en los dispositivos del entorno de datos del titular de la tarjeta (CDE). Donde se almacenan, procesan y transmiten los datos del titular de la tarjeta (CHD).

Requerimiento 10 de PCI DSS: Supervise y rastree todos los accesos a los recursos de red y los datos del titular de la tarjeta

 

Con el fin de minimizar el impacto del compromiso de los datos del titular de la tarjeta, es fundamental implementar mecanismos de registro y poder realizar un seguimiento de las actividades del usuario.

La presencia de registros en todos los entornos permite un seguimiento, alerta y análisis exhaustivos cuando algo sale mal.

 

Explicaremos los principales desafíos y pasos que debemos considerar

 

1)Es esencial contar con un sistema que vincule el acceso de los usuarios a los componentes del sistema. Por esta es la razón es que los registros de auditoría deben estar habilitados y activos para todos los componentes en el ambiente PCI DSS. Las pistas de auditoría deben registrar los siguientes eventos:

  • Todos los usuarios individuales que acceden a los datos del titular de la tarjeta.
  • Todas las acciones que fueron realizadas por una persona con privilegios de administrador o de root.
  • Acceso a todas las pistas de auditoría.
  • Intentos de acceso lógico no válidos.
  • Mecanismos de identificación y autenticación.
  • Todos los usuarios con elevación de privilegios.
  • Todos los cambios, adiciones o eliminaciones sobre cualquier cuenta con privilegios de administrador o de root.
  • Inicialización, detención o pausa de los registros de auditoría.
  • Creación y eliminación de objetos a nivel de sistema.

2)Implementar tecnología que permita sincronizar los relojes en múltiples sistemas. Esta condición es crucial para el análisis forense en el caso de un incidente.

3)Implementar un control de acceso sobre los registros de auditoría basándose únicamente en la segregación de funciones y segregación física para minimizar el riesgo de que los registros de auditoría sean modificados.

4)Realice una copia inmediata de todos los registros en un servidor centralizado que incluya controles de acceso para no permitir su modificación.

5)Para monitorear la integridad de los archivos que no cambian regularmente, pero cuando se modifican indican un posible compromiso, implemente los sistemas de monitoreo de detección de cambios que generan alertas.

6)Realice una revisión diaria de los registros para identificar problemas potenciales o intentos de obtener acceso a sistemas sensibles.

7)Retener los registros de auditoría al menos un año, con un mínimo de tres meses inmediatamente disponibles para su análisis.

8) Implementar un proceso formal para la detección oportuna de alertas de fallos de sistemas críticos de control de seguridad, como firewalls, IDS / IPS, FIM, antivirus, controles de acceso físico, controles de acceso lógico, mecanismos de registro de auditoría.

Los registros de auditoría son muy importantes para el análisis forense de incidentes. Además, de la detección temprana de amenazas y fallos debido al uso de sistemas de monitoreo y la generación de alertas.

¿Necesita ayuda con la implementación de PCI DSS? Nuestros QSAs pueden ayudarlo. 

Leer más sobre:
PCI DSS requerimiento 1: Protección del entorno de datos del titular de la tarjeta

PCI DSS requerimiento 2: Cambia tus valores predeterminados
PCI DSS requerimiento 3: Proteger los datos del titular de la tarjeta  
PCI DSS requerimiento 4: Proteger la transmisión de datos de titulares de tarjetas a través de redes abiertas y públicas  
PCI DSS requerimiento 5: Proteger todos los sistemas contra todo tipo de malware 
PCI DSS requerimiento 6: Desarrollar software y mantener sistemas y aplicaciones seguras
PCI DSS requerimiento 7: Restringir el acceso a los datos del titular de la tarjeta 
PCI DSS requerimiento 8: Identificar y autenticar el acceso a los sistemas  
PCI DSS requerimiento 9: Restringir el acceso físico a los datos del titular de la tarjeta 
PCI DSS requerimiento 10: Supervise y rastree todos los accesos a los recursos de red y los datos del titular de la tarjeta
PCI DSS requerimiento 11: Probar regularmente los sistemas y procesos de seguridad
PCI DSS requerimiento 12: Mantener una política que aborde la seguridad de la información para todo el personal