En esta serie de blogs, explicaremos los 12 requisitos de PCI DSS, discutiremos los desafíos comunes y le diremos qué tipo de evidencia se necesita para cumplir con el requisito. Nuestro blog anterior fue sobre el quinto requisito. El mismo se centra en la protección contra todo tipo de malware que puede afectar los sistemas dentro del entorno de datos de tarjetas (CDE), donde se almacenan, procesan y transmiten estos datos (CHD).

 

Requerimiento 6 de PCI DSS: Desarrollar y mantener de forma segura el software, los sistemas y las aplicaciones

 

Los atacantes explotan las vulnerabilidades de los sistemas con objeto de intentar obtener acceso privilegiado al entorno que trabaja con datos de tarjetas. La implementación de los parches de seguridad proporcionados por los proveedores resuelve una gran parte de las vulnerabilidades conocidas. Esta es la razón principal por la que PCI DSS solicita mantener siempre los sistemas actualizados.

Por otro lado, las vulnerabilidades de seguridad en el código del software a medida también son aprovechadas para obtener acceso a una red y comprometer los datos del titular de la tarjeta. Por lo tanto, los requisitos de seguridad son necesarios en todas las fases tales como el análisis, el diseño y la de prueba del software.

 

Defina e implemente procesos

 

Defina e implemente un proceso que permita identificar y clasificar el riesgo de las vulnerabilidades de seguridad en el entorno PCI DSS a través de fuentes externas fiables. Este proceso engloba las siguientes fases:

  1. Identifique las vulnerabilidades de forma continua a través de la información proporcionada por los proveedores, los sitios de seguridad aceptados por la industria y las herramientas de escaneo.
  2. Clasifique el riesgo y establezca prioridades para abordar rápidamente los elementos de mayor riesgo y reducir la probabilidad de explotación de las vulnerabilidades.
  3. Solucione las vulnerabilidades de mayor riesgo en menos de 30 días y las vulnerabilidades de menor riesgo en el medio plazo siempre que no supere la fecha programada del próximo escaneo de seguridad.
  4. Re-test. Luego de haber corregido la vulnerabilidad, realice una nueva prueba de escaneo de seguridad para asegurarse de que se hayan solucionado correctamente.
  5. Tenga presente que para corregir las vulnerabilidades debe implementar tanto los parches de seguridad proporcionados por el proveedor del sistema como la actualización de las configuraciones de seguridad.

Defina e implemente un proceso de desarrollo que incluya los requisitos de seguridad en todas las fases de desarrollo. PCI DSS pone el énfasis en la etapa de pruebas y en la revisión del código. Los puntos más importantes en estos procesos son:

  1. Realice revisiones objetivas e independientes por partes externas al desarrollo del código en cuestión.
  2. Corrija todos los errores antes de implementarlo en un entorno de producción.
  3. No implemente el nuevo código con datos de pruebas tales como los ID de usuario y las contraseñas que se utilizaron en la fase de prueba. Mantenga el entorno de desarrollo totalmente separado del entorno de producción tanto física como lógicamente.

La implementación de las mejores prácticas para la configuración segura, así como el mantenimiento del software actualizado y la implementación de las mejores prácticas de desarrollo seguro ayudarán a mitigar los riesgos y proteger el entorno de PCI DSS.

¿Necesita ayuda con la implementación de PCI DSS? Nuestros QSAs pueden ayudarlo. 

Leer más sobre:
PCI DSS requerimiento 1: Protección del entorno de datos del titular de la tarjeta

PCI DSS requerimiento 2: Cambia tus valores predeterminados
PCI DSS requerimiento 3: Proteger los datos del titular de la tarjeta  
PCI DSS requerimiento 4: Proteger la transmisión de datos de titulares de tarjetas a través de redes abiertas y públicas  
PCI DSS requerimiento 5: Proteger todos los sistemas contra todo tipo de malware 
PCI DSS requerimiento 6: Desarrollar software y mantener sistemas y aplicaciones seguras
PCI DSS requerimiento 7: Restringir el acceso a los datos del titular de la tarjeta 
PCI DSS requerimiento 8: Identificar y autenticar el acceso a los sistemas  
PCI DSS requerimiento 9: Restringir el acceso físico a los datos del titular de la tarjeta 
PCI DSS requerimiento 10: Supervise y rastree todos los accesos a los recursos de red y los datos del titular de la tarjeta
PCI DSS requerimiento 11: Probar regularmente los sistemas y procesos de seguridad
PCI DSS requerimiento 12: Mantener una política que aborde la seguridad de la información para todo el personal