En esta serie de blogs, explicaremos los 12 requerimientos de PCI DSS, discutiremos los desafíos comunes y le diremos qué tipo de evidencia se necesita para cumplir con el requisito. Nuestro blog anterior fue sobre el décimo requisito. El mismo se centra en el monitoreo de los accesos a los recursos de la red y de los datos en los dispositivos del entorno de datos de tarjetas (CDE), donde se almacenan, procesan y transmiten los datos del titular de la tarjeta (CHD).

 

Requerimiento 11 de PCI DSS: Probar regularmente los sistemas y procesos de seguridad

 

Continuamente se están descubriendo nuevas vulnerabilidades, por lo que los componentes del sistema y el software personalizado se deben probar con frecuencia para garantizar que los controles de seguridad continúen reflejando un entorno seguro.

 

Principales desafíos y pasos que debemos considerar

 

  1. Detectar la existencia de dispositivos inalámbricos no autorizados que podrían instalarse en el CDE y ser utilizados como una via de acceso a los datos de tarjetas. Un inventario de dispositivos inalámbricos autorizados puede ayudar a los administradores a identificar rápidamente los dispositivos no autorizados a través de un proceso trimestral de detección de puntos de accesos inalámbricos y minimizar de manera proactiva la exposición del CDE.
  2. Realizar trimestralmente escaneos internos de vulnerabilidades, y solucionar las encontradas de acuerdo con la clasificación de vulnerabilidades que se definió en base al Requisito 6.1.
  3. Realizar trimestralmente escaneos externos de vulnerabilidades. En este caso, debe realizarlo un proveedor de escaneo aprobado (ASV) por el Consejo de estándares de seguridad de la industria de tarjetas de pago (PCI SSC).
  4. Realice un test de intrusión externo al menos una vez al año y después de cualquier actualización o modificación significativa en la infraestructura o en las aplicaciones- por ejemplo: una actualización del sistema operativo o un servidor web agregado al entorno.
  5. Realice un test de intrusión interno al menos una vez al año y después de cualquier actualización o modificación significativa en la infraestructura o las aplicaciones- por ejemplo, una actualización del sistema operativo, una subred agregada al entorno o un nuevo servidor.
  6. Para todos los casos de análisis, las vulnerabilidades encontradas durante las pruebas de intrusión se deben corregir y repetir la prueba para verificar las correcciones.
  7. Si los reportes de los escaneos ASV, escaneos de vulnerabilidades internos, las pruebas de intrusión externas e internas informan de vulnerabilidades con una puntuación CVSS de 4.0 o superior debe identificarlas, corregirlas y repetir el análisis hasta corregirlasen su totalidad.
  8. Si se utiliza la segmentación de redes para aislar el CDE de otras redes, realice pruebas de intrusión para verificar que los métodos de segmentación son operativos y efectivos, y aísle todos los sistemas fuera del alcance del CDE.
  9. Recuerde que todas las exploraciones deben ser realizadas por personal cualificado.
  10. Implementar herramientas de IDS/ IPS (Detección de intrusiones / Prevención de intrusos) para comparar el tráfico de red con «firmas» conocidas y / o comportamientos sospechosos de tráfico que podrían comprometer la seguridad. Estas herramientas generan alertas que deben verificarse antes de que se produzca las amenazas.

 

Este es uno de los requisitos que incorpora varias implementaciones técnicas para controlar y prevenir amenazas. No dude en obtener el asesoramiento de expertos en la materia. Facilitará el camino para el cumplimiento de las normas PCI DSS.

¿Necesita ayuda con la implementación de PCI DSS? Nuestros QSAs pueden ayudarlo. 

Leer más sobre:
PCI DSS requerimiento 1: Protección del entorno de datos del titular de la tarjeta

PCI DSS requerimiento 2: Cambia tus valores predeterminados
PCI DSS requerimiento 3: Proteger los datos del titular de la tarjeta  
PCI DSS requerimiento 4: Proteger la transmisión de datos de titulares de tarjetas a través de redes abiertas y públicas  
PCI DSS requerimiento 5: Proteger todos los sistemas contra todo tipo de malware 
PCI DSS requerimiento 6: Desarrollar software y mantener sistemas y aplicaciones seguras
PCI DSS requerimiento 7: Restringir el acceso a los datos del titular de la tarjeta 
PCI DSS requerimiento 8: Identificar y autenticar el acceso a los sistemas  
PCI DSS requerimiento 9: Restringir el acceso físico a los datos del titular de la tarjeta 
PCI DSS requerimiento 10: Supervise y rastree todos los accesos a los recursos de red y los datos del titular de la tarjeta
PCI DSS requerimiento 11: Probar regularmente los sistemas y procesos de seguridad
PCI DSS requerimiento 12: Mantener una política que aborde la seguridad de la información para todo el personal