En esta serie de blogs, explicaremos los 12 requerimientos de PCI DSS, discutiremos los desafíos comunes y le diremos qué tipo de evidencia se necesita para cumplir con el requisito. Nuestro blog anterior fue sobre el séptimo requisito. El mismo se centra en restringir el acceso al entorno de datos de tarjetas (CDE), donde se almacenan, procesan y transmiten estos datos (CHD).

 

Requerimiento 8 de PCI: Identificar y autenticar el acceso a los sistemas

 

La posibilidad de identificar las acciones de cada una de las personas con acceso a datos o sistemas críticos garantiza que cada persona sea responsable de sus acciones.

Si bien es posible implementar sistemas de autenticación basado en diferentes factores el mas utilizado es el basado en ID de usuario y contraseña (factor I), dejando los otros factores de autenticación (2 y 3) como protección adicional.

El éxito de una implementación del sistema de autenticación, generalmente basada en una contraseña, depende de su diseño y de los métodos de seguridad para su protección durante la su transmisión y almacenamiento.

 

Principales desafíos y pasos que debemos considerar

 

  1. Implementar políticas y procedimientos para garantizar una gestión adecuada de la identificación del usuario.
  2. Definir un ID único para todos los usuarios antes de permitirles acceder a los componentes del sistema o a los datos de tarjetas.
  3. Implementar un proceso para mantener el control de las nuevas incorporaciones, eliminaciones y modificaciones de credenciales de acceso de los IDs de usuario.
  4. Cancelar inmediatamente todo el acceso otorgado a cualquier usuario que causa baja en la empresa.
  5. Suspender los usuarios de empleados inactivos durante un largo espacio de tiempo.
  6. Habilitar y monitorizar el acceso de terceros solo cuando sea necesario y durante un tiempo limitado.
  7. Monitorizar las actividades para todos los IDs de usuario, especialmente para aquellos otorgados a terceros.
  8. Limitar el número de intento de accesos fallidos a través del bloqueo de la cuenta durante un mínimo de media hora o desbloqueo manual.
  9. Implementar doble factor de autenticación para los accesos administrativos que no son de consola y especialmente para todos los accesos remotos.
  10. Utilice cifrado robusto para la transmisión y almacenamiento de las contraseñas de autenticación.
  11. Implementar una política de contraseñas robustas para reducir el riesgo de que sea fácil de adivinar para una persona maliciosa que desea usar una identificación de usuario válida.
  12. Prohibir el uso de usuarios genéricos o contraseñas compartidas. Esto impide la posibilidad de identificar de manera unívoca las actividades de los usuarios.
  13. Concienciar en seguridad. El personal siempre debe conocer y respetar las políticas de seguridad y los procedimientos de identificación y autorización de acceso. Sea creativo para capacitar al personal con frecuencia y que conozca los procedimientos y políticas de autenticación segura.

Tal como se recomendó en el blog anterior, la implementación de una solución centralizada que permita restringir el acceso al sistema en función del rol es muy útil. Este tipo de soluciones también permite monitorizar la actividad de los usuarios e implementar políticas de contraseñas robustas y de control centralizado.

¿Necesita ayuda con la implementación de los requerimientos de PCI DSS? Nuestros QSAs pueden ayudarlo.

Leer más sobre:
PCI DSS requerimiento 1: Protección del entorno de datos del titular de la tarjeta

PCI DSS requerimiento 2: Cambia tus valores predeterminados
PCI DSS requerimiento 3: Proteger los datos del titular de la tarjeta  
PCI DSS requerimiento 4: Proteger la transmisión de datos de titulares de tarjetas a través de redes abiertas y públicas  
PCI DSS requerimiento 5: Proteger todos los sistemas contra todo tipo de malware 
PCI DSS requerimiento 6: Desarrollar software y mantener sistemas y aplicaciones seguras
PCI DSS requerimiento 7: Restringir el acceso a los datos del titular de la tarjeta 
PCI DSS requerimiento 8: Identificar y autenticar el acceso a los sistemas  
PCI DSS requerimiento 9: Restringir el acceso físico a los datos del titular de la tarjeta 
PCI DSS requerimiento 10: Supervise y rastree todos los accesos a los recursos de red y los datos del titular de la tarjeta
PCI DSS requerimiento 11: Probar regularmente los sistemas y procesos de seguridad
PCI DSS requerimiento 12: Mantener una política que aborde la seguridad de la información para todo el personal