En esta serie de blogs, explicaremos los 12 requisitos de PCI DSS, discutiremos los desafíos comunes y le diremos qué tipo de evidencia se necesita para cumplir con el requisito.

 

Requerimiento 5: Proteger todos los sistemas contra todo tipo de malware

 

Este requisito se centra en la protección contra todo tipo de malware que puede afectar a los sistemas. Una aclaración importante sobre la palabra «malware» o “software malicioso”, cuando se habla de «malware» o “software malicioso”, se refiere de forma general a todo tipo de software que se presenta como una amenaza al ingresa a la red y aprovechar las vulnerabilidades del sistema. Estos tipos de software son popularmente conocidos como virus, gusanos, rootkits, adwares y troyanos.

Continuamente surgen nuevos ataques que explotan las vulnerabilidades del sistema, a menudo llamadas «día cero» (un ataque que explota una vulnerabilidad previamente desconocida), contra sistemas seguros.

Sin una solución antivirus que se actualice regularmente, estas nuevas formas de software malintencionado pueden atacar sistemas, deshabilitar una red o llevar a un riesgo de datos.

 

4 consejos que debemos considerar

 

  1. Si para los componentes del alcance PCI DSS existe la tecnología antivirus, debe ser implementada en todos ellos.
  2. La solución antivirus debe ser capaz de detectar, eliminar y proteger contra todo tipo de software malicioso, como troyanos, gusanos, spyware, adware y rootkits.
  3. La solución antivirus debe mantenerse con las últimas actualizaciones de seguridad y archivos de firmas.
  4. La solución antivirus debe proporcionar la capacidad de monitorear la actividad de virus y malware a través de registros de auditoría. Estos registros de auditoría deben ser administrados de acuerdo con el requisito 10 de PCI DSS.

 

Desde el punto de vista de la seguridad, no debe delegar la responsabilidad solo en la solución antivirus o considerar sus sistemas son seguros porque los mismos implementan un software que no es comúnmente atacado por malware. Las tendencias sobre el software malicioso y la identificación de nuevas vulnerabilidades de seguridad deben incorporarse en los estándares de configuración y los mecanismos de protección.

Need help with PCI DSS implementation? Our QSAs can help out.

Read more about:
PCI DSS requirement 1: Protecting Cardholder data environment
PCI DSS requirement 2: Change your defaults
PCI DSS requirement 3: Don’t store cardholder data  
PCI DSS requirement 4: Encryption  
PCI DSS requirement 5: Update and Scan 
PCI DSS requirement 6: Develop and maintain secure systems and applications
PCI DSS requirement 7: Restrict access to CHD 
PCI DSS requirement 8: Identify, Authenticate, and Authorize  
PCI DSS requirement 9: Restrict physical access to Cardholder data 
PCI DSS requirement 10: Track and monitor all access to network resources and cardholder data