En esta serie de blogs, explicaremos los 12 requisitos de PCI DSS, discutiremos los desafíos comunes y le diremos qué tipo de evidencia se necesita para cumplir con el requisito. Nuestro blog anterior fue sobre el primer requisito. El mismo se centra en la protección del entorno de datos de tarjetas (CDE), donde se almacenan, procesan y transmiten estos datos (CHD).
Requerimiento 2 de PCI DSS: Estándar de seguridad
Ahora que conocemos (según el requisito 1) él hardware y software que están involucrados en el proceso de transmisión, procesamiento y/o almacenamiento de los datos de tarjetas, podemos comenzar con el próximo requisito.
El segundo requisito describe las mejores prácticas para la implementación de la configuración de seguridad en sus sistemas y la documentación requerida por PCI DSS.
A continuación, explicaremos los principales desafíos y pasos que debemos considerar:
1) Documentar el estándar de seguridad para cada sistema parece ser una tarea difícil, pero una vez que se hace, garantiza que todo el equipo de TI esté alineado con las políticas de configuración establecidas y su correcta implementación. Asegúrese de que estos documentos de configuración segura se adapten a su sistema y sean coherentes con los estándares aceptados por la industria. Puede visitar los siguientes sitios:
No se quede solo con las configuraciones sugeridas por estos organismos. Úselos como guía y verifique que el valor elegido permita el funcionamiento correcto de su sistema en particular.
2) Incluya los requisitos específicos de PCI DSS, revise todos los requisitos de la norma y compárelos con su documento, aunque muchas de las sugerencias de configuración se incluyen en las recomendaciones de los sitios mencionados en el punto anterior.
3) Implemente las configuraciones documentadas, una vez que haya documentado y probado la configuración de cada parámetro. Implementarlo en todos los dispositivos dentro del alcance PCI DSS.
4) Cuando haya finalizado el paso anterior, puede oficializar y distribuir los documentos dentro de su equipo de TI. De esta forma, todos conocerán los pasos que se deben seguir y que existe un procedimiento de configuración segura de los sistemas.
5) Mantenga el estándar de configuración actualizado. Para esto, recomendamos revisarlos cuando implemente una actualización de software y ante una nueva vulnerabilidad que suponga un cambio de configuración.
La documentación no es solo parte del cumplimiento de PCI DSS. La documentación juega un papel importante en la seguridad de los datos de tarjetas y en el mantenimiento de una red segura. Por esta razón, es importante revisarla regularmente e incluir nuevas configuraciones que resuelvan o prevengan la explotación de vulnerabilidades.
¿Necesita ayuda con la implementación de PCI DSS? Nuestros QSAs pueden ayudarlo.
Leer más sobre:
PCI DSS requerimiento 1: Protección del entorno de datos del titular de la tarjeta
PCI DSS requerimiento 2: Cambia tus valores predeterminados
PCI DSS requerimiento 3: Proteger los datos del titular de la tarjeta
PCI DSS requerimiento 4: Proteger la transmisión de datos de titulares de tarjetas a través de redes abiertas y públicas
PCI DSS requerimiento 5: Proteger todos los sistemas contra todo tipo de malware
PCI DSS requerimiento 6: Desarrollar software y mantener sistemas y aplicaciones seguras
PCI DSS requerimiento 7: Restringir el acceso a los datos del titular de la tarjeta
PCI DSS requerimiento 8: Identificar y autenticar el acceso a los sistemas
PCI DSS requerimiento 9: Restringir el acceso físico a los datos del titular de la tarjeta
PCI DSS requerimiento 10: Supervise y rastree todos los accesos a los recursos de red y los datos del titular de la tarjeta
PCI DSS requerimiento 11: Probar regularmente los sistemas y procesos de seguridad
PCI DSS requerimiento 12: Mantener una política que aborde la seguridad de la información para todo el personal