En esta serie de blogs, explicaremos los 12 requisitos de PCI DSS, discutiremos los desafíos comunes y le diremos qué tipo de evidencia se necesita para cumplir con el requisito. Nuestro blog anterior fue sobre el quinto requisito. El mismo se centra en la protección contra todo tipo de malware puede afectar los sistemas para los dispositivos del entorno de datos del titular de la tarjeta (CDE). Donde se almacenan, procesan y transmiten los datos del titular de la tarjeta (CHD).

 

Requirimiento 6: Desarrollar software y mantener sistemas y aplicaciones seguras

 

Para intentar obtener acceso privilegiado a los sistemas con datos de titulares de tarjetas, los atacantes explotan las vulnerabilidades del sistema. La implementación de los parches de seguridad proporcionados por los proveedores resuelve una gran parte de las vulnerabilidades conocidas. Esta es la razón principal por la que PCI DSS solicita mantener siempre los sistemas actualizados.

Por otro lado, las vulnerabilidades de seguridad en el código de software personalizado introducido inadvertidamente también es aprovechado para obtener acceso a una red y comprometer los datos del titular de la tarjeta. Por lo tanto, las definiciones de seguridad son necesarias en todas las fases tales como en la etapa de análisis, el diseño y la de prueba para el desarrollo del software.

 

Defina e implemente procesos

 

Defina e implemente un proceso que permita identificar y clasificar el riesgo de las vulnerabilidades de seguridad en el entorno PCI DSS a través de fuentes externas confiables. Este proceso involucra las siguientes fases:

  1. Identifique las vulnerabilidades continuamente a través de la información proporcionada por los proveedores, los sitios de seguridad aceptados por la industria y las herramientas de escaneo.
  2. Clasifique el riesgo y establezca prioridades para abordar rápidamente los elementos de mayor riesgo y reducir la probabilidad de explotar las vulnerabilidades.
  3. Solucione las vulnerabilidades de mayor riesgo en menos de 30 días y las vulnerabilidades de menor riesgo en el mediano plazo siempre que no supere la fecha programada del próximo escaneo de seguridad.
  4. Re-test. Luego de haber implementado la solución de vulnerabilidad, realice una nueva prueba de escaneo de seguridad para asegurarse de que se hayan corregido las vulnerabilidades.
  5. Tenga presente que, para corregir las vulnerabilidades, debe implementar tanto los parches de seguridad proporcionados por el proveedor del sistema como la actualización de las configuraciones de seguridad.

Definir e implementar un proceso de desarrollo que incluya los requisitos de seguridad en todas las fases de desarrollo. PCI DSS pone el énfasis en la etapa de pruebas y en la revisión del código. Los puntos más importantes en estos procesos son:

  1. Realice revisiones objetivas e independientes por parte de quien no fue el desarrollador del código en estudio.
  2. Corrija todos los errores antes de implementarlo en un entorno de producción.
  3. No implemente el nuevo código con datos de pruebas tales como los ID de usuario y las contraseñas que se utilizaron en la fase de prueba. Mantener el entorno de desarrollo totalmente separado del entorno de producción tanto física como lógicamente.

La implementación de las mejores prácticas para la configuración segura, así como el mantenimiento del software actualizado y la implementación de las mejores prácticas de desarrollo de seguro ayudarán a mitigar los riesgos y proteger el entorno de PCI DSS.

 

Need help with PCI DSS implementation? Our QSAs can help out.

 

Mas sobre requirement 5