En esta serie de blogs, explicaremos los 12 requisitos de PCI DSS, discutiremos los desafíos comunes y le diremos qué tipo de evidencia se necesita para cumplir con el requisito. Nuestro blog anterior fue sobre el quinto requisito. El mismo se centra identificar y autenticar el acceso a los sistemas del entorno de datos de tarjetas (CDE), donde se almacenan, procesan y transmiten los datos del titular de la tarjeta (CHD).
Requerimiento 9 de PCI DSS: Restringir el acceso físico a los datos de tarjetas
Este requisito se centra en la protección del acceso físico a los sistemas que alojan los datos de tarjetas, así como también a la eliminación, de modo seguro, de dispositivos magnéticos extraíbles o copias en papel con datos de tarjetas.
Sin controles de los accesos físicos, las personas no autorizadas podrían obtener acceso a la instalación para robar, deshabilitar, interrumpir o destruir los sistemas y datos críticos de tarjetas.
A continuación, explicaremos los principales desafíos y pasos que debemos considerar:
-
Implementar una solución para el control de acceso físico como son los lectores de credenciales u otros dispositivos, incluidas las credenciales autorizadas y cerradura.
-
Utilizar cámaras de video para la monitorización continua del acceso a áreas sensibles donde se alojan los equipos con datos de tarjetas. Definir un ID único para todos los usuarios antes de permitirles acceder a los componentes del sistema o a los datos de tarjetas.
-
Implementar un proceso de acceso que permita distinguir entre visitantes autorizados y empleados, para evitar que los visitantes no autorizados tengan acceso a áreas que contienen datos de tarjetas.
-
Proteger físicamente frente al acceso no autorizado a todos los medios extraíbles o portátiles que contienen datos de tarjetas.
-
Mantener un control estricto a través de un procedimiento e inventarios sobre la distribución interna o externa de cualquier tipo de medio conteniendo datos de tarjetas.
-
Eliminar de forma segura la información contenida en los dispositivos físicos móviles o extraíbles antes de ser descartados para evitar que personas malintencionadas recuperen su información.
-
Inspeccionar periódicamente los dispositivos para detectar posibles alteraciones o reemplazos de un dispositivo y minimizar el impacto potencial del uso de dispositivos fraudulentos.
La seguridad no es absoluta, siempre deben implementarse diferentes capas de seguridad. En los blogs anteriores se trabajo sobre la seguridad lógica en los dispositivos en este caso se incorporó el control físico como una capa externa de seguridad para los mismos dispositivos.
¿Necesita ayuda con la implementación de PCI DSS? Nuestros QSAs pueden ayudarlo.
Leer más sobre:
PCI DSS requerimiento 1: Protección del entorno de datos del titular de la tarjeta
PCI DSS requerimiento 2: Cambia tus valores predeterminados
PCI DSS requerimiento 3: Proteger los datos del titular de la tarjeta
PCI DSS requerimiento 4: Proteger la transmisión de datos de titulares de tarjetas a través de redes abiertas y públicas
PCI DSS requerimiento 5: Proteger todos los sistemas contra todo tipo de malware
PCI DSS requerimiento 6: Desarrollar software y mantener sistemas y aplicaciones seguras
PCI DSS requerimiento 7: Restringir el acceso a los datos del titular de la tarjeta
PCI DSS requerimiento 8: Identificar y autenticar el acceso a los sistemas
PCI DSS requerimiento 9: Restringir el acceso físico a los datos del titular de la tarjeta
PCI DSS requerimiento 10: Supervise y rastree todos los accesos a los recursos de red y los datos del titular de la tarjeta
PCI DSS requerimiento 11: Probar regularmente los sistemas y procesos de seguridad
PCI DSS requerimiento 12: Mantener una política que aborde la seguridad de la información para todo el personal