En esta serie de blogs, explicaremos los 12 requisitos de PCI DSS, discutiremos los desafíos comunes y le diremos qué tipo de evidencia se necesita para cumplir con el requisito.
Requerimiento 5 de PCI DSS: Proteger todos los sistemas frente a todo tipo de malware
Este requisito se centra en la protección contra todo tipo de malware que puede afectar a los sistemas. Una aclaración importante sobre la palabra “malware” o “software malicioso”: cuando se habla de “malware” o “software malicioso”, se refiere de forma general a todo tipo de software que se presenta como una amenaza al ingresar en la red y aprovechar las vulnerabilidades de los sistemas. Estos tipos de software son popularmente conocidos como virus, gusanos, rootkits, adwares y troyanos.
Continuamente surgen nuevos ataques que explotan vulnerabilidades de los sistemas, a menudo llamados “zero-day” (un ataque que explota una vulnerabilidad previamente desconocida), contra sistemas seguros.
Sin una solución antivirus que se actualice regularmente, estas nuevas formas de software malintencionado pueden atacar sistemas, deshabilitar una red o resultar en un compromiso de los datos.
Cuatro consejos que debemos considerar
- Si para los componentes dentro del alcance PCI DSS existe la tecnología antivirus, debe ser implementada en todos ellos.
- La solución antivirus debe ser capaz de detectar, eliminar y proteger contra todo tipo de software malicioso, como troyanos, gusanos, spyware, adware y rootkits.
- La solución antivirus debe mantenerse con las últimas actualizaciones de seguridad y archivos de firmas.
- La solución antivirus debe proporcionar la capacidad de monitorizar la actividad de virus y malware a través de registros de auditoría. Estos registros de auditoría deben ser administrados de acuerdo con el requisito 10 de PCI DSS.
Desde el punto de vista de la seguridad, no debe delegar la responsabilidad solo en la solución antivirus o considerar que sus sistemas son seguros porque los mismos implementan un software que no es comúnmente atacado por malware. Las tendencias sobre malware y la identificación de nuevas vulnerabilidades de seguridad deben incorporarse en los estándares de configuración y los mecanismos de protección.
¿Necesita ayuda con la implementación de PCI DSS? Nuestros QSAs pueden ayudarlo.
Leer más sobre:
PCI DSS requerimiento 1: Protección del entorno de datos del titular de la tarjeta
PCI DSS requerimiento 2: Cambia tus valores predeterminados
PCI DSS requerimiento 3: Proteger los datos del titular de la tarjeta
PCI DSS requerimiento 4: Proteger la transmisión de datos de titulares de tarjetas a través de redes abiertas y públicas
PCI DSS requerimiento 5: Proteger todos los sistemas contra todo tipo de malware
PCI DSS requerimiento 6: Desarrollar software y mantener sistemas y aplicaciones seguras
PCI DSS requerimiento 7: Restringir el acceso a los datos del titular de la tarjeta
PCI DSS requerimiento 8: Identificar y autenticar el acceso a los sistemas
PCI DSS requerimiento 9: Restringir el acceso físico a los datos del titular de la tarjeta
PCI DSS requerimiento 10: Supervise y rastree todos los accesos a los recursos de red y los datos del titular de la tarjeta
PCI DSS requerimiento 11: Probar regularmente los sistemas y procesos de seguridad
PCI DSS requerimiento 12: Mantener una política que aborde la seguridad de la información para todo el personal