El 31 de enero de 2018 marcó la fecha en que todos los nuevos requisitos introducidos en PCI DSS versión 3.2 que deben ser adoptados por las organizaciones e incluidos en su evaluación PCI DSS. Tenga en cuenta que una revisión menor de esta versión ya está planificada para mediados de 2018, la cual entrará en vigor en 2019. Explicaremos todo esto a continuación.
No hay necesidad de precuparse
PCI DSS siempre ha alentado la implementación de buenas prácticas de seguridad con el objetivo de incrementar la seguridad de la información. Si ha incorporado estas prácticas en su empresa, no será difícil incluir los nuevos requisitos a tiempo.
Para comerciantes y proveedores de servicios, los nuevos requisitos son:
Verifique que los requisitos afectados de las PCI DSS están vigentes después de un cambio significativo (Requisito 6.4.6)
para el cumplimiento de este requisito se recomienda especificar una definición clara del concepto de “cambio significativo” para poder identificarlo y cuando este evento ocurre, es claro que se debe seguir un procedimiento especifico.
PCI no proporciona una definición de “cambio significativo”, pero en el requisito 11.2 sugiere los siguientes:
- Instalación de nuevos componentes del sistema
- Cambios en la topología de la red
- Modificaciones en las reglas de firewall
- Actualizaciones de softwares
- Nuevos servidores Web
Autenticación de múltiples factores para todos los accesos administrativos que no sean de consola (Requisito 8.3.1)
Seguramente su empresa tiene un acceso de autenticación de múltiples factores al entorno a través de una VPN, ahora debe ampliar este concepto de seguridad para todos los accesos administrativos que no sean de consola a los dispositivos del entorno de la tarjeta.
Requisitos adicionales para los proveedores de servicios
Mantenga una descripción documentada de la arquitectura criptográfica (Requisito 3.5.1)
Solicita detalles sobre la arquitectura criptográfica implementada. Esta información debe ser agregada al proceso de administración de claves.
Detecte y responda a fallas de sistemas críticos de control de la seguridad (Requisitos 10.8 y 10.8.1)
Los sistemas, que son utilizados para el control de seguridad, pueden fallar y si no es posible detectar, alertar y actuar adecuadamente por períodos prolongados, los atacantes pueden tener suficiente tiempo para comprometer los sistemas y robar datos confidenciales del entorno de datos del titular de la tarjeta.
Realizar pruebas de penetración en los controles de segmentación al menos cada seis meses (Requisito 11.3.4.1)
Si ha implementado la segmentación en su red, este requisito trata de validar el alcance de PCI DSS para garantizar que esté actualizado y alineado con los objetivos comerciales.
Las pruebas de penetración se realizan para verificar los controles de segmentación al menos cada seis meses y después de cualquier cambio en los controles / métodos de segmentación.
Establezca la responsabilidad de la protección de los datos del titular de la tarjeta y un programa de cumplimiento PCI DSS (Requisito 12.4.1)
Este requisito apunta a tener un patrocinador dentro del negocio que facilite la implementación y el control de los requisitos de PCI. La asignación de la administración ejecutiva de las responsabilidades de cumplimiento de PCI DSS garantiza la visibilidad a nivel ejecutivo del programa de cumplimiento PCI DSS y permite la oportunidad de formular preguntas adecuadas para determinar la eficacia del programa e influir en las prioridades estratégicas de comunicación a la gerencia ejecutiva. La gestión ejecutiva puede incluir puestos de nivel C, un consejo de administración o su equivalente. Los títulos específicos dependerán de la estructura organizativa particular.
Realice revisiones al menos trimestralmente para garantizar que se sigan las políticas y procedimientos de seguridad (Requisitos 12.11 y 12.11.1)
Están destinados a confirmar si las actividades de seguridad se llevan a cabo de forma continua, lo que ayuda a la entidad a prepararse para su próxima evaluación PCI DSS.
Deadline disabling SSL/early TLS is almost here
Aprovecho esta oportunidad para recordarle otra fecha importante el 30 de junio de 2018. Es la fecha límite para deshabilitar SSL / early TLS e implementar un protocolo de cifrado seguro.
Si incorpora estos nuevos requisitos estará listo para la cumplir con la nueva versión de PCI DSS 3.2.1.
Para mas información visite el sitio oficial de PCI.
Sobre el Autor:
Natalia Morando es profesional de seguridad en PCI con más de 12 años de experiencia. Si quiere más informaciones sobre PCI contáctenos.