Las infrastructuras en la nube se ha convertido en una tecnología cada vez más popular en los últimos años y ha evolucionado rápidamente. Con el lanzamiento de PCI 4.0, el estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) se actualizó para reflejar el panorama cambiante de la computación en la nube. El cambio más significativo con respecto a PCI 4.0 es la evolución de sus requisitos hacia la introducción de cloud computing.
Nueva guía sobre seguridad en la nube
Esta nueva versión del estándar ha sido diseñada para brindar más flexibilidad y adaptabilidad basando sus controles en un objetivo de seguridad definido. Permitiendo mayor entendimiento y correcto uso de los servicios basados en la nube.
PCI 4.0 no tiene un nuevo modelo de seguridad específico para entornos de nube. Sin embargo, el estándar PCI 4.0 proporciona una nueva guía sobre el uso de servicios en la nube y tecnologías basadas en la nube. Esta guía está diseñada para ayudar a las organizaciones que utilizan servicios en la nube a proteger sus sistemas de pago de conformidad con PCI DSS.
PCI 4.0 no tiene un nuevo modelo de seguridad específico para entornos de nube. Sin embargo, el estándar PCI 4.0 proporciona una nueva guía sobre el uso de servicios en la nube y tecnologías basadas en la nube. Esta guía está diseñada para ayudar a las organizaciones que utilizan servicios en la nube a proteger sus sistemas de pago de conformidad con PCI DSS.
¿Cómo puede garantizar la seguridad en la nube con PCI DSSv4.0?
A través de los cambios, la nueva versión de PCI 4.0 puede garantizar seguridad en la nube. El estándard cubre una amplia gama de temas, incluida la arquitectura de seguridad en la nube, las operaciones de seguridad en la nube y el monitoreo de la seguridad en la nube. Requiere que las organizaciones implementen una serie de controles de seguridad, como encriptación, autenticación y control de acceso.
Para garantizar la seguridad en la nube, también se requiere que las organizaciones cuenten con un plan integral de respuesta a incidentes. Este plan debe incluir pasos para responder a incidentes de seguridad, como identificar la fuente del incidente, contener el incidente y restaurar los sistemas y servicios afectados.
Además, PCI 4.0 requiere que las organizaciones se aseguren de que sus sistemas basados en la nube se prueben periódicamente para detectar vulnerabilidades. Esto incluye pruebas de vulnerabilidades comunes, como inyección SQL, secuencias de comandos entre sitios y otros problemas de seguridad. Las organizaciones también deben asegurarse de que sus sistemas basados en la nube se actualicen regularmente para protegerlos contra las amenazas más recientes.
Esta nueva versión de PCI DSS es un importante avance para las organizaciones que buscan garantizar la seguridad de sus sistemas y servicios basados en la nube. Al adherirse a los procesos y controles de seguridad del programa, las organizaciones pueden ayudar a proteger sus sistemas y servicios de actores malintencionados.
Finalmente, PCI 4.0 también incluye varios requisitos nuevos para la implementación del servicio en la nube. Estos requisitos incluyen la implementación de control de acceso seguro, el uso de cifrado y la implementación de un ciclo de vida de desarrollo seguro.
En resumen, debes tener en cuenta los siguientes requisitos:
- asegúrese de que todos los datos sean cifrados con algoritmos sólidos y se almacenen de forma segura.
Y tener un proceso documentado para:
- responder a incidentes de seguridad.
- Sistemas de parcheo y actualización.
- monitorear y registrar el acceso a los datos de los clientes mediante herramientas de automatización.
- administrar las cuentas de acceso a datos.
- validar la integridad de las cuentas de acceso.
- eliminación segura de los datos.
- transferir datos de forma segura.
- Realizar copia de respaldo seguras.
Conclusión
En general, los cambios en PCI 4.0 están diseñados para brindar a las organizaciones más flexibilidad y seguridad cuando se trata de computación en la nube. Al implementar estos nuevos requisitos, las organizaciones pueden garantizar que sus servicios basados en la nube sean seguros y cumplan con los estándares más recientes.