NL +31 (0)20 4232420 / Spain +34 607 676 354 info@fortytwo.nl

En esta serie de blogs, explicaremos los 12 requisitos de PCI DSS, discutiremos los desafíos comunes y le diremos qué tipo de evidencia se necesita para cumplir con el requisito. Nuestro blog anterior fue sobre el quinto requisito. El mismo se centra identificar y autenticar el acceso a los sistemas del entorno de datos del titular de la tarjeta (CDE). Donde se almacenan, procesan y transmiten los datos del titular de la tarjeta (CHD).

 

Restringir el acceso físico a los datos del titular de la tarjeta

 

Este requisito se centra en la protección del acceso físico a los sistemas que alojan los datos del titular de la tarjeta, así como también a la eliminación de dispositivos magnéticos extraíbles o copias en papel con datos de tarjetas de modo seguro.

Sin controles de los accesos físicos, las personas no autorizadas podrían obtener acceso a la instalación para robar, deshabilitar, interrumpir o destruir los sistemas y datos críticos del titular de la tarjeta.

A continuación, explicaremos los principales desafíos y pasos que debemos considerar:

  • Implementar una solución para el control de acceso físico como son los lectores de credenciales u otros dispositivos, incluidas las credenciales autorizadas, candado y llave.

  • Utilizar cámaras de video para el monitoreo continuo del acceso a áreas sensibles donde se alojan los dispositivos con datos de tarjetas. Definir un ID único para todos los usuarios antes de permitirles acceder a los componentes del sistema o a los datos del titular de la tarjeta.

  • Implementar un proceso de acceso que permita distinguir entre visitantes autorizados y empleados, para evitar que los visitantes no autorizados tengan acceso a áreas que contienen datos de titulares de tarjetas.

  • Proteger físicamente contra el acceso no autorizado a todos los medios extraíbles o portátiles que contienen datos del titular de tarjetas.

  • Mantener un control estricto a través de un procedimiento e inventarios sobre la distribución interna o externa de cualquier tipo de medio con datos del titular de la tarjeta.

  • Eliminar de forma segura la información contenida en los dispositivos físicos móviles o extraíbles antes de ser descartados pata evitar que personas malintencionadas recuperen su información.

  • Inspeccionar periódicamente los dispositivos para detectar posibles alteraciones o reemplazos de un dispositivo y minimizar el impacto potencial del uso de dispositivos fraudulentos.

La seguridad no es absoluta, siempre debe implementarse diferentes capas de seguridad. En los blogs anteriores se trabajo sobre la seguridad lógica en los dispositivos en este caso se incorporó el control físico como una capa externa de seguridad para los mismos dispositivos.

Need help with PCI DSS implementation? Our QSAs can help out.

Read more about:
PCI DSS requirement 1: Protecting Cardholder data environment
PCI DSS requirement 2: Change your defaults
PCI DSS requirement 3: Don’t store cardholder data  
PCI DSS requirement 4: Encryption  
PCI DSS requirement 5: Update and Scan 
PCI DSS requirement 6: Develop and maintain secure systems and applications
PCI DSS requirement 7: Restrict access to CHD 
PCI DSS requirement 8: Identify, Authenticate, and Authorize  
PCI DSS requirement 9: Restrict physical access to Cardholder data 
PCI DSS requirement 10: Track and monitor all access to network resources and cardholder data