En esta serie de blogs, explicaremos los 12 requisitos de PCI DSS, discutiremos los desafíos comunes y le diremos qué tipo de evidencia se necesita para cumplir con el requisito. Uno de los principales requisitos de PCI DSS, sin duda, es el primero. Contiene un conjunto de requisitos de prioridad alta que ayudan a determinar el alcance del estándar.
Requerimiento 1 de PCI DSS: Protección del entorno de datos del titular de la tarjeta
La protección del perímetro del entorno de los datos de la tarjeta (CDE) y la protección de los datos del titular de la tarjeta (CHD) contra el robo de datos. Desarrollemos los principales desafíos que debemos tener en cuenta:
1) Implemente un firewall perimetral que pueda segmentar la red en tres principales áreas de seguridad, como:
– Acceso a Internet, siempre la comunicación hacia o desde Internet debe estar limitada a la DMZ.
– Red interna (red segura), en este segmento, debe mantener todos los dispositivos que almacenan y / o procesan información confidencial. Pero nunca se comunicarán se comunicarán a Internet, solo con la DMZ u otra red interna segura.
– DMZ (zona desmilitarizada), en este segmento de red, debe ubicar todos los dispositivos que se comunican entre Internet y la red interna.
Obviamente, su entorno puede necesitar segmentos adicionales. Puede agregar todos los que considere convenientes, manteniendo este concepto básico de seguridad.
2) Documentos a desarrollar:
-Diagrama de red y diagrama de flujo de datos. Deben ser lo más detallados posible y mantenerse actualizado con cada cambio realizado.
-Proceso de cambio de control de red: cualquier cambio en la red debe realizarse a través de un proceso que controle y autorice el cambio.
-Revisión del conjunto de reglas. La revisión de las reglas debe realizarse para verificar que todas las configuraciones del dispositivo cumplan con PCI DSS. Además, verifique que todos los cambios en el firewall se realizaron a través del procedimiento de control de cambios mencionado en el punto anterior.
-Estándar de configuración. Documente la configuración de cada uno de los parámetros del firewall que verifican el cumplimiento de PCI DSS.
-La política de red. Esta política garantiza el cumplimiento de todos los principios en los que se basa PCI DSS para mantener una red segura.
3) Una buena documentación no es solo cuestión de cumplimiento. Debe mantener las evidencias, no solo para el cumplimiento de la auditoría, sinó también para controlar las acciones y cambios realizados. Mantener unas buenas evidencias facilitará la auditoría, y mostrará en qué tipo y forma se han completado las tareas. Al desarrollar procedimientos, no olvide identificar la evidencia que se debe generar en cada paso.
¿Necesita ayuda con la implementación de PCI DSS? Nuestros QSAs pueden ayudarlo.
Leer más sobre:
PCI DSS requerimiento 1: Protección del entorno de datos del titular de la tarjeta
PCI DSS requerimiento 2: Cambia tus valores predeterminados
PCI DSS requerimiento 3: Proteger los datos del titular de la tarjeta
PCI DSS requerimiento 4: Proteger la transmisión de datos de titulares de tarjetas a través de redes abiertas y públicas
PCI DSS requerimiento 5: Proteger todos los sistemas contra todo tipo de malware
PCI DSS requerimiento 6: Desarrollar software y mantener sistemas y aplicaciones seguras
PCI DSS requerimiento 7: Restringir el acceso a los datos del titular de la tarjeta
PCI DSS requerimiento 8: Identificar y autenticar el acceso a los sistemas
PCI DSS requerimiento 9: Restringir el acceso físico a los datos del titular de la tarjeta
PCI DSS requerimiento 10: Supervise y rastree todos los accesos a los recursos de red y los datos del titular de la tarjeta
PCI DSS requerimiento 11: Probar regularmente los sistemas y procesos de seguridad
PCI DSS requerimiento 12: Mantener una política que aborde la seguridad de la información para todo el personal