En esta serie de blogs, explicaremos los 12 requisitos de PCI DSS, discutiremos los desafíos comunes y le diremos qué tipo de evidencia se necesita para cumplir con el requisito. Nuestro blog anterior fue sobre el quinto requisito. El mismo se centra identificar y autenticar el acceso a los sistemas del entorno de datos del titular de la tarjeta (CDE). Donde se almacenan, procesan y transmiten los datos del titular de la tarjeta (CHD).

 

Restringir el acceso físico a los datos del titular de la tarjeta

 

Este requisito se centra en la protección del acceso físico a los sistemas que alojan los datos del titular de la tarjeta, así como también a la eliminación de dispositivos magnéticos extraíbles o copias en papel con datos de tarjetas de modo seguro.

Sin controles de los accesos físicos, las personas no autorizadas podrían obtener acceso a la instalación para robar, deshabilitar, interrumpir o destruir los sistemas y datos críticos del titular de la tarjeta.

A continuación, explicaremos los principales desafíos y pasos que debemos considerar:

  • Implementar una solución para el control de acceso físico como son los lectores de credenciales u otros dispositivos, incluidas las credenciales autorizadas, candado y llave.

  • Utilizar cámaras de video para el monitoreo continuo del acceso a áreas sensibles donde se alojan los dispositivos con datos de tarjetas. Definir un ID único para todos los usuarios antes de permitirles acceder a los componentes del sistema o a los datos del titular de la tarjeta.

  • Implementar un proceso de acceso que permita distinguir entre visitantes autorizados y empleados, para evitar que los visitantes no autorizados tengan acceso a áreas que contienen datos de titulares de tarjetas.

  • Proteger físicamente contra el acceso no autorizado a todos los medios extraíbles o portátiles que contienen datos del titular de tarjetas.

  • Mantener un control estricto a través de un procedimiento e inventarios sobre la distribución interna o externa de cualquier tipo de medio con datos del titular de la tarjeta.

  • Eliminar de forma segura la información contenida en los dispositivos físicos móviles o extraíbles antes de ser descartados pata evitar que personas malintencionadas recuperen su información.

  • Inspeccionar periódicamente los dispositivos para detectar posibles alteraciones o reemplazos de un dispositivo y minimizar el impacto potencial del uso de dispositivos fraudulentos.

La seguridad no es absoluta, siempre debe implementarse diferentes capas de seguridad. En los blogs anteriores se trabajo sobre la seguridad lógica en los dispositivos en este caso se incorporó el control físico como una capa externa de seguridad para los mismos dispositivos.

Read more tips on complying to PCI DSS. Requirement 8.
Need help to comply with PCI DSS? Our QSAs are here to help. Contact us directly or read more about our approach towards PCI DSS compliance.