En esta serie de blogs, explicaremos los 12 requisitos de PCI DSS, discutiremos los desafíos comunes y le diremos qué tipo de evidencia se necesita para cumplir con el requisito.

 

‘Proteger la transmisión de datos de titulares de tarjetas a través de redes abiertas y públicas’

 

Las personas malintencionadas explotan las vulnerabilidades de las redes públicas y/o inalámbricas que están mal configuradas y/o tienen el cifrado vulnerable para obtener acceso privilegiado al entorno de datos del titular de la tarjeta.

Requisito 4 indica como proteger toda la información confidencial durante la transmisión a través de redes abiertas, públicas o a través de redes inalámbricas a las que se pueden acceder fácilmente por personas malintencionadas.

 

3 pasos a considerar

 

Explicaremos los principales desafíos y pasos que se deben considerar para cumplir con este requisito:

1) Implemente solo criptografía sólida y protocolos de seguros para proteger los datos confidenciales de los titulares de tarjetas durante la transmisión a través de redes públicas y/o abiertas.

The SSL and early TLS protocol are no longer safe, this is the reason that PCI DSS asks for implementing the latest TLS version and disable the old versions and insecure protocols.

2) Implemente criptografía sólida para la autenticación y transmisión de datos de titulares de tarjetas a través de redes inalámbricas u otras redes internas o datos internos.
Además, debe implementar:

  • implementar la configuración segura sobre las redes inalámbricas;
  • tome las recomendaciones de las mejores prácticas de estándares de sistemas aceptados en la industria como Center for Internet Security (CIS), International Organization for Standardization (ISO), SysAdmin Audit Network Security (SANS) Institute National Institute of Standards Technology (NIST);
  • incluir las recomendaciones de los proveedores de tecnología.

3) Never send unprotected PANs by end-user messaging technologies such as email, instant messaging, SMS, chat, etc. unless they are configured to provide strong encryption. These technologies can be easily intercepted by packet-sniffing during delivery across on internal or public networks.

 

Es importante mantenerse informado sobre las nuevas vulnerabilidades que afectan a los protocolos que se consideraron seguros en el pasado y que ya no lo son.

Leer mas sobre Requisito 1