Uno de los principales requisitos de PCI DSS, sin duda, es el primero. Contiene un conjunto de requisitos de prioridad alta que ayudan a determinar el alcance del estándar.

Este requisito se centra en la protección del perímetro del entorno de los datos de la tarjeta (CDE) y la protección de los datos del titular de la tarjeta (CHD) contra el robo de datos. 

 

Desarrollemos los principales desafíos que debemos tener en cuenta:

1) Implemente un firewall perimetral que pueda segmentar la red en tres principales áreas de seguridad, como:

        • Acceso a Internet, siempre la comunicación hacia o desde Internet debe estar limitada a la DMZ.
        • Red interna (red segura), en este segmento, debe mantener todos los dispositivos que almacenan y / o procesan información confidencial. Pero nunca se comunicarán se comunicarán a Internet, solo con la DMZ u otra red interna segura.
        • DMZ (zona desmilitarizada), en este segmento de red, debe ubicar todos los dispositivos que se comunican entre Internet y la red interna.

Obviamente, su entorno puede necesitar segmentos adicionales. Puede agregar todos los que considere convenientes, manteniendo este concepto básico de seguridad.

 

2) Documentos ha desarrollar:

          • Diagrama de red y diagrama de flujo de datos, deben ser lo más detallado posible y mantenerse actualizado con cada cambio realizado.
          • Proceso de cambio de control de red: cualquier cambio en la red debe realizarse a través de un proceso que controle y autorice el cambio.
          • Revisión del conjunto de reglas. La revisión de las reglas debe realizarse para verificar que todas las configuraciones del dispositivo cumplan con PCI DSS. Además, verifique que todos los cambios en el firewall se realizaron a través del procedimiento de control de cambios mencionado en el punto anterior.
          • Estándar de configuración, documente la configuración de cada uno de los parámetros del firewall que verifican el cumplimiento de PCI DSS.
          • La política de red garantiza el cumplimiento de todos los principios en los que se basa PCI DSS para mantener una red segura.
  1. 3) Mantener la evidencia, es necesario para el cumplimiento en la auditoría, pero también para controlar las tareas se ha hecho en tipo y forma. Al desarrollar procedimientos, no olvide identificar la evidencia que debe generar en cada paso.