NL +31 (0)20 4232420 / Spain +34 607 676 354 info@fortytwo.nl

En esta serie de blogs, explicaremos los 12 requisitos de PCI DSS, discutiremos los desafíos comunes y le diremos qué tipo de evidencia se necesita para cumplir con el requisito. Nuestro blog anterior fue sobre el décimo requisito. El mismo se centra en el monitoreo de los accesos a los recursos de la red y de los datos en los dispositivos del entorno de datos del titular de la tarjeta (CDE). Donde se almacenan, procesan y transmiten los datos del titular de la tarjeta (CHD).

 

Requermiento 11 de PCI DSS: Probar regularmente los sistemas y procesos de seguridad

 

Las vulnerabilidades del sistema se descubren continuamente, por lo que los componentes del sistema y el software personalizado se deben probar con frecuencia para garantizar que los controles de seguridad continúen reflejando un entorno seguro.

 

Explicaremos los principales desafíos y pasos que debemos considerar

 

  1. Los dispositivos inalámbricos no autorizados pueden implementarse en un componente del sistema que se utilizará como una ruta para acceder a los datos del titular de la tarjeta. Un inventario de dispositivos inalámbricos autorizados puede ayudar a los administradores a identificar rápidamente los dispositivos no autorizados a través de un proceso de detección de punto de acceso inalámbrico trimestral y minimizar de manera proactiva la divulgación del CDE.
  2. Realizar escaneos de vulnerabilidades internos trimestralmente y resolverlos de acuerdo con la clasificación de vulnerabilidad de la entidad que se definió en base al Requisito 6.1.
  3. Realizar escaneos de vulnerabilidad externos trimestralmente. En este caso, debe realizarlo un proveedor de escaneo aprobado (ASV) por el Consejo de estándares de seguridad de la industria de tarjetas de pago (PCI SSC).
  4. Realice una prueba de penetración externa al menos una vez al año y después de cualquier actualización o modificación significativa de la infraestructura o de las aplicaciones- por ejemplo: una actualización del sistema operativo, una subred agregada al entorno o un servidor web agregado al entorno.
  5. Realice una prueba de penetración interna al menos una vez al año y después de cualquier actualización o modificación significativa de la infraestructura o las aplicaciones- por ejemplo, una actualización del sistema operativo, una subred agregada al entorno o un servidor web agregado al entorno.
  6. Para todos los casos de análisis, las vulnerabilidades encontradas durante las pruebas de penetración se deben corregir y repetir la prueba para verificar las correcciones.
  7. Si los reportes de los escaneos ASV, escaneos de vulnerabilidades internos, las pruebas de penetración externas y las pruebas de penetración internas informan vulnerabilidades con una puntuación CVSS de 4.0 o superior debe identificarlas, corregirlas y repetir el análisis hasta corregir todas las vulnerabilidades.
  8. Si se utiliza la segmentación de redes para aislar el CDE de otras redes, realice pruebas de penetración para verificar que los métodos de segmentación sean operativos y efectivos, y aísle todos los sistemas fuera del alcance del CDE.
  9. Recuerde que todas las exploraciones deben ser realizadas por personal calificado.
  10. Implementar herramientas de IDS/ IPS (Detección de intrusiones / Prevención de intrusos) para comparar el tráfico de red con «firmas» conocidas y / o comportamientos sospechosos de tráfico que podrían comprometer la seguridad. Estas herramientas generan advertencias que deben verificarse antes de que se produzca las amenazas.

 

Este es uno de los requisitos que incorpora varias implementaciones técnicas para controlar y prevenir amenazas. No dude en obtener el asesoramiento de expertos en la materia. Facilitará el camino para el cumplimiento de las normas PCI DSS.

¿Necesita ayuda con la implementación de PCI DSS? Nuestros QSAs pueden ayudarlo. 

Leer más sobre:
PCI DSS requerimiento 1: Protección del entorno de datos del titular de la tarjeta

PCI DSS requerimiento 2: Cambia tus valores predeterminados
PCI DSS requerimiento 3: Proteger los datos del titular de la tarjeta  
PCI DSS requerimiento 4: Proteger la transmisión de datos de titulares de tarjetas a través de redes abiertas y públicas  
PCI DSS requerimiento 5: Proteger todos los sistemas contra todo tipo de malware 
PCI DSS requerimiento 6: Desarrollar software y mantener sistemas y aplicaciones seguras
PCI DSS requerimiento 7: Restringir el acceso a los datos del titular de la tarjeta 
PCI DSS requerimiento 8: Identificar y autenticar el acceso a los sistemas  
PCI DSS requerimiento 9: Restringir el acceso físico a los datos del titular de la tarjeta 
PCI DSS requerimiento 10: Supervise y rastree todos los accesos a los recursos de red y los datos del titular de la tarjeta
PCI DSS requerimiento 11: Probar regularmente los sistemas y procesos de seguridad
PCI DSS requerimiento 12: Mantener una política que aborde la seguridad de la información para todo el personal