NL +31 (0)20 4232420 / Spain +34 607 676 354 info@fortytwo.nl

En esta serie de blogs, explicaremos los 12 requisitos de PCI DSS, discutiremos los desafíos comunes y le diremos qué tipo de evidencia se necesita para cumplir con el requisito. Nuestro blog anterior fue sobre el quinto requisito. El mismo se centra en restringir el acceso físico a los datos del titular de la tarjeta presentes en los dispositivos del entorno de datos del titular de la tarjeta (CDE). Donde se almacenan, procesan y transmiten los datos del titular de la tarjeta (CHD).

Requerimiento 10: Supervise y rastree todos los accesos a los recursos de red y los datos del titular de la tarjeta

 

Con el fin de minimizar el impacto del compromiso de los datos del titular de la tarjeta, es fundamental implementar mecanismos de registro y poder realizar un seguimiento de las actividades del usuario.

La presencia de registros en todos los entornos permite un seguimiento, alerta y análisis exhaustivos cuando algo sale mal.

 

Explicaremos los principales desafíos y pasos que debemos considerar

 

1)Es esencial contar con un sistema que vincule el acceso de los usuarios a los componentes del sistema. Por esta es la razón es que los registros de auditoría deben estar habilitados y activos para todos los componentes en el ambiente PCI DSS. Las pistas de auditoría deben registrar los siguientes eventos:

  • Todos los usuarios individuales que acceden a los datos del titular de la tarjeta.
  • Todas las acciones que fueron realizadas por una persona con privilegios de administrador o de root.
  • Acceso a todas las pistas de auditoría.
  • Intentos de acceso lógico no válidos.
  • Mecanismos de identificación y autenticación.
  • Todos los usuarios con elevación de privilegios.
  • Todos los cambios, adiciones o eliminaciones sobre cualquier cuenta con privilegios de administrador o de root.
  • Inicialización, detención o pausa de los registros de auditoría.
  • Creación y eliminación de objetos a nivel de sistema.

2)Implementar tecnología que permita sincronizar los relojes en múltiples sistemas. Esta condición es crucial para el análisis forense en el caso de un incidente.

3)Implementar un control de acceso sobre los registros de auditoría basándose únicamente en la segregación de funciones y segregación física para minimizar el riesgo de que los registros de auditoría sean modificados.

4)Realice una copia inmediata de todos los registros en un servidor centralizado que incluya controles de acceso para no permitir su modificación.

5)Para monitorear la integridad de los archivos que no cambian regularmente, pero cuando se modifican indican un posible compromiso, implemente los sistemas de monitoreo de detección de cambios que generan alertas.

6)Realice una revisión diaria de los registros para identificar problemas potenciales o intentos de obtener acceso a sistemas sensibles.

7)Retener los registros de auditoría al menos un año, con un mínimo de tres meses inmediatamente disponibles para su análisis.

8) Implementar un proceso formal para la detección oportuna de alertas de fallos de sistemas críticos de control de seguridad, como firewalls, IDS / IPS, FIM, antivirus, controles de acceso físico, controles de acceso lógico, mecanismos de registro de auditoría.

Los registros de auditoría son muy importantes para el análisis forense de incidentes. Además, de la detección temprana de amenazas y fallos debido al uso de sistemas de monitoreo y la generación de alertas.

Need help with PCI DSS implementation? Our QSAs can help out.

Read more about:
PCI DSS requirement 1: Protecting Cardholder data environment
PCI DSS requirement 2: Change your defaults
PCI DSS requirement 3: Don’t store cardholder data  
PCI DSS requirement 4: Encryption  
PCI DSS requirement 5: Update and Scan 
PCI DSS requirement 6: Develop and maintain secure systems and applications
PCI DSS requirement 7: Restrict access to CHD 
PCI DSS requirement 8: Identify, Authenticate, and Authorize  
PCI DSS requirement 9: Restrict physical access to Cardholder data 
PCI DSS requirement 10: Track and monitor all access to network resources and cardholder data